安全研究員易卜拉欣·巴利克發(fā)現(xiàn)推特安卓應用程序中的一個漏洞讓他通過官方應用程序接口提交了數(shù)百萬個電話號碼��,該接口返回了所有相關(guān)的用戶賬戶���。
這特征如果你啟用了它����,是為了讓擁有你號碼的朋友查詢你的推特賬號����。但是很明顯����,提交數(shù)百萬個數(shù)字“超出了預期的用例“。如果您關(guān)閉了此功能�����,您就不會受到此錯誤的影響�����。
幸運的是����,對于歐盟的用戶來說�����,這是一個選擇����。但對世界其他地方來說�����,這是選擇退出——所以如果你有一個與你的賬戶相關(guān)聯(lián)的電話號碼����,你可能已經(jīng)受到了影響。
此外����,電話號碼包括為雙重身份驗證目的而提供的號碼,因此歐盟以外的人可能在未意識到這一點的情況下容易受到攻擊�����。似乎在推特被警告這個問題并關(guān)閉了最初的網(wǎng)絡(大概是巴里克的)后���,它的調(diào)查人員發(fā)現(xiàn)了更多利用這個漏洞的賬戶�����,盡管一名代表拒絕提供數(shù)字或估計����。
該公司在一份安全公告中寫道:“我們觀察到來自伊朗、以色列和馬來西亞境內(nèi)個人知識產(chǎn)權(quán)地址的請求數(shù)量特別高����。”“這些知識產(chǎn)權(quán)地址中的一些可能與國家資助的行為者有聯(lián)系�����?���!痹撎永^續(xù)說道���。
伊朗新聞通訊社對推特的無限制訪問證明了這種懷疑是有道理的��。伊朗的新聞通訊社禁止公眾訪問推特�����,這表明政府參與了進來���。Belic在被TechCrunch聯(lián)系時表示�����,他的工作無論如何都不是國家資助的��。
任何被懷疑濫用該功能的帳戶都被掛起���,并且該應用程序接口本身已被修改,以防止進一步利用這種類型����。我已經(jīng)問過公司有多少賬戶被暫停,如果我收到回復��,我會更新這篇文章���。
推特已經(jīng)發(fā)生了許多事件暴露或泄露的用戶數(shù)據(jù)去年�����。除了與廣告合作伙伴分享太多數(shù)據(jù)外���,該公司承認使用電話號碼進行雙因素認證提供定向廣告�����。
閩公網(wǎng)安備 35010202001226號
