一位安全研究人员表示,他已经为Twitter匹配了1700万个电话号码利用Twitter的Android应用程序中的漏洞来创建用户帐户。
Ibrahim Balic发现可以通过Twitter的联系人上传功能上传生成的电话号码的完整列表。他告诉TechCrunch:“如果您上传电话号码,它将获取用户数据作为回报。”
他说,Twitter的联系人上传功能不接受连续格式的电话号码列表,这可能是防止这种匹配的一种方式。相反,他生成了超过20亿个电话号码,一个接一个,然后随机分配这些号码,并通过Android应用程序将其上传到Twitter。(Balic说,该错误在基于Web的上传功能中不存在。)
Balic说,在两个月的时间里,他与来自以色列,土耳其,伊朗,希腊,亚美尼亚,法国和德国的用户的记录进行了匹配,但在Twitter于12月20日阻止了这项工作后就停止了。
Balic向TechCrunch提供了他匹配的电话号码样本。使用该站点的密码重置功能,我们通过比较随机选择的用户名和提供的电话号码来验证他的发现。
在一个案例中,TechCrunch能够使用他们匹配的电话号码识别一位以色列高级政治人物。
尽管他没有向Twitter警告该漏洞,但他将许多备受关注的Twitter用户的电话号码(包括政客和官员)带到WhatsApp小组,以直接警告用户。
人们不认为Balic的努力与本周发布的Twitter博客文章有关,该文章证实了一个错误可能使“不良行为者看到非公开帐户信息或控制您的帐户”,例如推文,直接消息和位置信息。
Twitter发言人告诉TechCrunch,该公司正在努力“确保不会再次利用此错误。”
“得知此错误后,我们暂停了用于不当访问人们个人信息的帐户。维护使用Twitter的人的隐私和安全是我们的第一要务,我们将继续致力于迅速阻止使用Twitter API产生的垃圾邮件和滥用行为。”
这是过去一年涉及Twitter数据的最新安全漏洞。5月,Twitter承认将帐户位置数据提供给了其合作伙伴之一,即使用户选择不共享其数据也是如此。该公司在八月份表示,无意中向其广告合作伙伴提供了超出应有的数据。就在上个月,Twitter确认已使用用户提供的电话号码进行两因素身份验证,以投放目标广告。
Balic以前因发现安全漏洞漏洞而闻名,该漏洞在2013年影响了Apple开发人员中心。