安全研究員易卜拉欣·巴利克發(fā)現(xiàn)推特安卓應(yīng)用程序中的一個漏洞讓他通過官方應(yīng)用程序接口提交了數(shù)百萬個電話號碼�,該接口返回了所有相關(guān)的用戶賬戶。
這特征如果你啟用了它���,是為了讓擁有你號碼的朋友查詢你的推特賬號���。但是很明顯,提交數(shù)百萬個數(shù)字“超出了預(yù)期的用例“�。如果您關(guān)閉了此功能,您就不會受到此錯誤的影響。
幸運(yùn)的是����,對于歐盟的用戶來說,這是一個選擇�����。但對世界其他地方來說����,這是選擇退出——所以如果你有一個與你的賬戶相關(guān)聯(lián)的電話號碼,你可能已經(jīng)受到了影響����。
此外,電話號碼包括為雙重身份驗(yàn)證目的而提供的號碼����,因此歐盟以外的人可能在未意識到這一點(diǎn)的情況下容易受到攻擊。似乎在推特被警告這個問題并關(guān)閉了最初的網(wǎng)絡(luò)(大概是巴里克的)后���,它的調(diào)查人員發(fā)現(xiàn)了更多利用這個漏洞的賬戶����,盡管一名代表拒絕提供數(shù)字或估計(jì)。
該公司在一份安全公告中寫道:“我們觀察到來自伊朗���、以色列和馬來西亞境內(nèi)個人知識產(chǎn)權(quán)地址的請求數(shù)量特別高�?!薄斑@些知識產(chǎn)權(quán)地址中的一些可能與國家資助的行為者有聯(lián)系���?���!痹撎永^續(xù)說道��。
伊朗新聞通訊社對推特的無限制訪問證明了這種懷疑是有道理的���。伊朗的新聞通訊社禁止公眾訪問推特�����,這表明政府參與了進(jìn)來���。Belic在被TechCrunch聯(lián)系時表示,他的工作無論如何都不是國家資助的��。
任何被懷疑濫用該功能的帳戶都被掛起,并且該應(yīng)用程序接口本身已被修改�����,以防止進(jìn)一步利用這種類型����。我已經(jīng)問過公司有多少賬戶被暫停,如果我收到回復(fù)�,我會更新這篇文章。
推特已經(jīng)發(fā)生了許多事件暴露或泄露的用戶數(shù)據(jù)去年���。除了與廣告合作伙伴分享太多數(shù)據(jù)外��,該公司承認(rèn)使用電話號碼進(jìn)行雙因素認(rèn)證提供定向廣告��。
立即登錄���,閱讀全文
閩公網(wǎng)安備 35010202001226號
