推特稱：已修復API漏洞

來源：cnBeta.COM 時間：2020-02-05 10:20:04

近日推特宣布已經(jīng)修復存在于API中的一個漏洞，該漏洞允許黑客可以輕松地將用戶推特賬號和手機號碼匹配起來。在公告中，推特表示已經(jīng)檢測到數(shù)起利用該漏洞發(fā)起的攻擊，主要來自于以色列，馬來西亞和伊朗，并有極大可能有政府參與其中。

去年12月，一名安全研究員表示通過利用Twitter Android應(yīng)用中的一個漏洞將1700萬個電話號碼跟Twitter用戶的賬號戶匹配了起來。換言之，如果用戶在Twitter上上傳了自己的電話號碼那么平臺就會獲取用戶數(shù)據(jù)。

Balic指出，Twitter的聯(lián)系人上傳功能不接受連續(xù)格式的電話號碼列表，這可能就是為了阻止上面的這種匹配。然而，Balic生成了20多億個電話號碼，一個接一個，然后隨機分配這些號碼并通過Android應(yīng)用將它們上傳到Twitter上。Balic指出，基于web的上傳功能中不存在這個漏洞。

Balic稱，在兩個多月的時間里，他匹配了來自以色列、土耳其、伊朗、希臘、亞美尼亞、法國和德國的用戶記錄，但在Twitter于12月20日對這一漏洞做出反應(yīng)之后他停止了這種行為。盡管他沒有提醒Twitter注意這一漏洞，但他將許多知名Twitter用戶(包括政界人士和官員)的電話號碼轉(zhuǎn)至WhatsApp群組中以便直接警告用戶。

對此，Twitter方面表示，他們正在努力確保不讓這個漏洞再次遭到利用。“在得知這個漏洞后，我們暫停了那些非法獲取個人信息的賬號。保護Twitter用戶的隱私和安全是我們的首要任務(wù)，我們?nèi)灾铝τ诳焖僮柚估]件和來自Twitter API的濫用。”

Twitter表示，在看到這份報告后，它立刻進行了干預(yù)，并封禁了一個用來查詢Twitter API的龐大虛假帳戶網(wǎng)絡(luò)(幾乎全用來將電話號碼與Twitter用戶名進行匹配)。

在調(diào)查報告期間，這家社交網(wǎng)絡(luò)公司告訴ZDNet，除了TechCrunch報告的安全研究員之外，還發(fā)現(xiàn)了其他第三方也利用了這個API的缺陷。Twitter沒有表示這個第三方是誰，但表示其中涉及的一些IP地址與國家資助的黑客行動有關(guān)?，F(xiàn)如今有越來越多的黑客組織在政府的資助下對他國政府機構(gòu)和大型企業(yè)進行攻擊

關(guān)鍵詞：

推特稱：已修復API漏洞

熱點

文章排行

娛樂圖賞