一名安全研究人员表示,利用 Twitter Android 应用的一个漏洞,可以将 1700 万个电话号码匹配至至 Twitter 的用户账号。
易卜拉欣·巴利奇(Ibrahim Balic)发现,通过 Twitter 的联系人上传功能,可以上传有意生成的电话号码列表。他对 TechCrunch 表示:“如果你上传自己的电话号码列表,那么就会返回用户帐号数据。”
他表示,Twitter 的联系人上传功能不支持顺序的电话号码列表,原因很可能就是为了防止这种匹配。因此,他一个接一个地生成了 20 多亿个电话号码,然后将这些号码随机化,并通过 Android 应用将号码上传至 Twitter。(巴利奇表示,网页版的上传功能并没有这个漏洞。)
巴利奇表示,在两个月时间里,他匹配了以色列、土耳其、伊朗、希腊、亚美尼亚、法国和德国用户的记录。不过,Twitter 于 12 月 20 日对此进行了拦截,他随后停止了这方面工作。
巴利奇向 TechCrunch 提供了他匹配的电话号码样本。使用 Twitter 提供的密码重置功能,我们通过将随机选择的用户名与他匹配到的电话号码进行了比对,证实了他的发现。
在其中一个案例中,TechCrunch 使用巴利奇匹配到的电话号码识别了一名以色列政坛的高级官员。
尽管没有提醒 Twitter 存在这个漏洞,但他将包括政界人士和官员在内的许多知名 Twitter 用户的电话号码加入到一个 WhatsApp 群组,尝试直接警示相关用户。
巴利奇的工作与本周发布的一篇 Twitter 博客无关。这篇博客证实,存在一个漏洞可能会让 “恶意分子看到非公开的账户信息或控制你的帐户”,例如 Twitter 消息、私信和位置信息。
Twitter 发言人表示,该公司正在努力 “确保这个漏洞不会被再次利用”。
“在得知这个漏洞后,我们封禁了用于不当获得用户个人信息的帐号。保护 Twitter 用户的隐私和安全是我们的首要任务,我们仍专注于迅速拦截基于 Twitter API 而出现的垃圾信息和滥用行为。” 该发言人表示。
过去一年,关于 Twitter 的数据安全曝出了多个漏洞。今年 5 月,Twitter 承认将账户的位置数据提供给一家合作伙伴,即使用户选择不共享自己的这些数据。8 月份,该公司表示,无意中向广告合作伙伴提供了超过应有水平的数据。就在上个月,Twitter 证实,该公司使用用户提供的、用于双因子验证的电话号码,来投放精准广告。
此前,巴利奇因为 2013 年发现影响苹果开发者中心的安全漏洞而知名。
A Twitter app bug was used to match 17 million phone numbers to user accounts