研究人員通過Twitterbug找到1，700萬組電話號碼的主人

最近Twitter很不平靜，上周才修補其Android程序含有賬號可遭控制的安全漏洞，本周一名安全研究人員Ibrahim Balic又爆料，他利用Android版Twitter程序的通訊錄上傳功能bug，找到了1,700萬組電話號碼的主人。

Twitter程序提供了一個通訊錄上傳功能，目的是為了讓用戶能夠藉由通訊錄上的電話號碼或電子郵件找到Twitter上的友人，為了避免遭到濫用，Twitter禁止用戶上傳連續格式的電話號碼，但Balic繞過了這個限制。

Balic向TechCrunch爆料，他先創造了20億個電話號碼，然後將它們打散，再把它們通過Android程序上傳，Twitter就會回復與這些電話號碼配對的主人信息。Balic花了兩個月的時間找到了1,700萬組電話號碼的主人，其中不乏知名的政治家與政府官員。但Twitter在12月20日就封鎖了Balic的行為。

Twitter對Balic的行為很不滿，因為Balic在發現該bug時，並未通報Twitter，反而創建了數百個假賬號來上傳這些電話號碼以識別用戶，而且直接把結果提供給媒體。

Twitter表示，該公司非常認真對待相關的報告，且積極地展開調查以確保該漏洞未來不會再出現，當他們得知該漏洞時，即終止這些不當訪問他人個人信息的賬號，之後也會繼續防止有人發送垃圾消息或濫用Twitter的APIs。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！