研究人員通過Twitterbug找到1,700萬組電話號碼的主人
科技
12-27
最近Twitter很不平靜,上周才修補其Android程序含有賬號可遭控制的安全漏洞,本周一名安全研究人員Ibrahim Balic又爆料,他利用Android版Twitter程序的通訊錄上傳功能bug,找到了1,700萬組電話號碼的主人。
Twitter程序提供了一個通訊錄上傳功能,目的是為了讓用戶能夠藉由通訊錄上的電話號碼或電子郵件找到Twitter上的友人,為了避免遭到濫用,Twitter禁止用戶上傳連續格式的電話號碼,但Balic繞過了這個限制。
Balic向TechCrunch爆料,他先創造了20億個電話號碼,然後將它們打散,再把它們通過Android程序上傳,Twitter就會回復與這些電話號碼配對的主人信息。Balic花了兩個月的時間找到了1,700萬組電話號碼的主人,其中不乏知名的政治家與政府官員。但Twitter在12月20日就封鎖了Balic的行為。
Twitter對Balic的行為很不滿,因為Balic在發現該bug時,並未通報Twitter,反而創建了數百個假賬號來上傳這些電話號碼以識別用戶,而且直接把結果提供給媒體。
Twitter表示,該公司非常認真對待相關的報告,且積極地展開調查以確保該漏洞未來不會再出現,當他們得知該漏洞時,即終止這些不當訪問他人個人信息的賬號,之後也會繼續防止有人發送垃圾消息或濫用Twitter的APIs。