研究人員利用上傳漏洞將1700萬個(gè)電話號(hào)碼匹配到Twitter賬戶

一位安全研究人員利用Twitter公司（T witterInc.）Android應(yīng)用程序的一個(gè)缺陷，在最新的涉及微博服務(wù)的隱私漏洞中，將1700萬個(gè)電話號(hào)碼與用戶賬戶相匹配。

今天由TechCrunch首次報(bào)道，并由漏洞研究人員IbrahimBalic發(fā)現(xiàn)，該漏洞利用了Twitter中的一個(gè)功能，該功能允許用戶上傳聯(lián)系人，然后將它們與Twitter用戶匹配。

為了避免被Twitter拒絕，Balic在兩個(gè)月的時(shí)間里使用了約20億個(gè)訂單混合的電話號(hào)碼，與Twitter用戶的1700萬個(gè)電話號(hào)碼相匹配。用戶分布在以色列、土耳其、伊朗、希臘、亞美尼亞、法國和德國。

雖然與Twitter賬戶匹配電話號(hào)碼似乎一開始并不是一個(gè)嚴(yán)重的問題，但Balic使用該電話號(hào)碼與Twitter賬戶匹配，以識(shí)別政治家和官員的私人電話號(hào)碼。

Balic沒有通知Twitter，但確實(shí)直接警告了一些用戶。12月20日，Twitter發(fā)布了Android應(yīng)用程序的安全警告。

然而，這一警告描述了Twitter Android應(yīng)用程序的一個(gè)缺陷，即“可以允許壞演員查看非公共帳戶信息或控制您的帳戶”，使用“一個(gè)復(fù)雜的過程，包括將惡意代碼插入Twitter應(yīng)用程序的限制存儲(chǔ)區(qū)域”。Balic的過程不涉及惡意代碼或其他形式的黑客攻擊，而是簡單地使用現(xiàn)有的Twitter功能。

推特（Twitter）對(duì)這份報(bào)告做出回應(yīng)，告訴恩加德特（Engadget），它“認(rèn)真對(duì)待”這樣的報(bào)告，并且正在“積極調(diào)查”，以防止這種錯(cuò)誤再次被利用。

Twitter補(bǔ)充說：“當(dāng)我們了解到這一漏洞時(shí)，我們暫停了用于不當(dāng)訪問人們個(gè)人信息的賬戶?！氨Ｗo(hù)使用Twitter的人的隱私和安全是我們的首要任務(wù)，我們?nèi)匀粚Ｗ⒂谘杆僮柚乖醋允褂肨witter API的垃圾郵件和濫用。

考慮到Balic唯一的罪行是利用該公司開門的服務(wù)，然后分享細(xì)節(jié)（如果不是Twitter本身的話），Twitter回應(yīng)中的語氣有些令人驚訝。沒有答案的問題是，其他人，特別是那些有邪惡意圖的人，是否也可以利用這個(gè)特征。