安全研究員易卜拉欣·巴利克發(fā)現(xiàn)推特安卓應(yīng)用程序中的一個(gè)漏洞讓他通過(guò)官方應(yīng)用程序接口提交了數(shù)百萬(wàn)個(gè)電話(huà)號(hào)碼,該接口返回了所有相關(guān)的用戶(hù)賬戶(hù)�。
這特征如果你啟用了它�,是為了讓擁有你號(hào)碼的朋友查詢(xún)你的推特賬號(hào)。但是很明顯�,提交數(shù)百萬(wàn)個(gè)數(shù)字“超出了預(yù)期的用例“。如果您關(guān)閉了此功能�,您就不會(huì)受到此錯(cuò)誤的影響。
幸運(yùn)的是�,對(duì)于歐盟的用戶(hù)來(lái)說(shuō),這是一個(gè)選擇��。但對(duì)世界其他地方來(lái)說(shuō)���,這是選擇退出——所以如果你有一個(gè)與你的賬戶(hù)相關(guān)聯(lián)的電話(huà)號(hào)碼����,你可能已經(jīng)受到了影響��。
此外��,電話(huà)號(hào)碼包括為雙重身份驗(yàn)證目的而提供的號(hào)碼�,因此歐盟以外的人可能在未意識(shí)到這一點(diǎn)的情況下容易受到攻擊��。似乎在推特被警告這個(gè)問(wèn)題并關(guān)閉了最初的網(wǎng)絡(luò)(大概是巴里克的)后���,它的調(diào)查人員發(fā)現(xiàn)了更多利用這個(gè)漏洞的賬戶(hù)�,盡管一名代表拒絕提供數(shù)字或估計(jì)。
該公司在一份安全公告中寫(xiě)道:“我們觀(guān)察到來(lái)自伊朗�、以色列和馬來(lái)西亞境內(nèi)個(gè)人知識(shí)產(chǎn)權(quán)地址的請(qǐng)求數(shù)量特別高?�!薄斑@些知識(shí)產(chǎn)權(quán)地址中的一些可能與國(guó)家資助的行為者有聯(lián)系�。”該帖子繼續(xù)說(shuō)道��。
伊朗新聞通訊社對(duì)推特的無(wú)限制訪(fǎng)問(wèn)證明了這種懷疑是有道理的��。伊朗的新聞通訊社禁止公眾訪(fǎng)問(wèn)推特���,這表明政府參與了進(jìn)來(lái)����。Belic在被TechCrunch聯(lián)系時(shí)表示��,他的工作無(wú)論如何都不是國(guó)家資助的��。
任何被懷疑濫用該功能的帳戶(hù)都被掛起�,并且該應(yīng)用程序接口本身已被修改,以防止進(jìn)一步利用這種類(lèi)型。我已經(jīng)問(wèn)過(guò)公司有多少賬戶(hù)被暫停�,如果我收到回復(fù),我會(huì)更新這篇文章�。
推特已經(jīng)發(fā)生了許多事件暴露或泄露的用戶(hù)數(shù)據(jù)去年。除了與廣告合作伙伴分享太多數(shù)據(jù)外��,該公司承認(rèn)使用電話(huà)號(hào)碼進(jìn)行雙因素認(rèn)證提供定向廣告����。
閩公網(wǎng)安備 35010202001226號(hào)
