Twitter 再曝漏洞：1700 萬用戶帳號被匹配至電話號碼

annan5168

一名安全研究人員表示，利用 Twitter Android 應用的一個漏洞，可以將 1700 萬個電話號碼匹配至至 Twitter 的用戶帳號。

易蔔拉欣·巴厘奇（Ibrahim Balic）發現，通過 Twitter 的連絡人上傳功能，可以上傳有意生成的電話號碼清單。他對 TechCrunch 表示：“如果你上傳自己的電話號碼清單，那麼就會返回用戶帳號數據。”

他表示，Twitter 的連絡人上傳功能不支持順序的電話號碼清單，原因很可能就是為了防止這種匹配。囙此，他一個接一個地生成了 20 多億個電話號碼，然後將這些號碼隨機化，並通過 Android 應用將號碼上傳至 Twitter。（巴厘奇表示，網頁版的上傳功能並沒有這個漏洞。）

巴厘奇表示，在兩個月時間裏，他匹配了以色列、土耳其、伊朗、希臘、亞美尼亞、法國和德國用戶的記錄。不過，Twitter 於 12 月 20 日對此進行了攔截，他隨後停止了這方面工作。

巴厘奇向 TechCrunch 提供了他匹配的電話號碼樣本。使用 Twitter 提供的密碼重置功能，我們通過將隨機選擇的用戶名與他匹配到的電話號碼進行了比對，證實了他的發現。

在其中一個案例中，TechCrunch 使用巴厘奇匹配到的電話號碼識別了一名以色列政壇的高級官員。

儘管沒有提醒 Twitter 存在這個漏洞，但他將包括政界人士和官員在內的許多知名 Twitter 用戶的電話號碼加入到一個 WhatsApp 群組，嘗試直接警示相關用戶。

巴厘奇的工作與本周發佈的一篇 Twitter 部落格無關。這篇部落格證實，存在一個漏洞可能會讓 “惡意分子看到非公開的帳戶資訊或控制你的帳戶”，例如 Twitter 消息、私信和位置資訊。

Twitter 發言人表示，該公司正在努力 “確保這個漏洞不會被再次利用”。

“在得知這個漏洞後，我們封禁了用於不當獲得用戶個人信息的帳號。保護 Twitter 用戶的隱私和安全是我們的首要任務，我們仍專注於迅速攔截基於 Twitter API 而出現的垃圾資訊和濫用行為。” 該發言人表示。

過去一年，關於 Twitter 的資料安全曝出了多個漏洞。今年 5 月，Twitter 承認將帳戶的位置數據提供給一家合作夥伴，即使用戶選擇不共亯自己的這些數據。8 月份，該公司表示，無意中向廣告合作夥伴提供了超過應有水准的數據。就在上個月，Twitter 證實，該公司使用用戶提供的、用於雙因數驗證的電話號碼，來投放精准廣告。