推特已修復API漏洞:1700萬個電話號碼暴力匹配賬號
近日推特宣布已經修復存在於API中的一個漏洞,該漏洞允許黑客可以輕鬆地將用戶推特賬號和手機號碼匹配起來。在公告中,推特表示已經檢測到數起利用該漏洞發起的攻擊,主要來自於以色列,馬來西亞和伊朗,並有極大可能有政府參與其中。
去年12月,一名安全研究員表示通過利用Twitter Android應用中的一個漏洞將1700萬個電話號碼跟Twitter用戶的賬號戶匹配了起來。換言之,如果用戶在Twitter上上傳了自己的電話號碼那麼平台就會獲取用戶數據。
Balic指出,Twitter的聯繫人上傳功能不接受連續格式的電話號碼列表,這可能就是為了阻止上面的這種匹配。然而,Balic生成了20多億個電話號碼,一個接一個,然後隨機分配這些號碼並通過Android應用將它們上傳到Twitter上。Balic指出,基於web的上傳功能中不存在這個漏洞。
Balic稱,在兩個多月的時間裡,他匹配了來自以色列、土耳其、伊朗、希臘、亞美尼亞、法國和德國的用戶記錄,但在Twitter於12月20日對這一漏洞做出反應之後他停止了這種行為。儘管他沒有提醒Twitter注意這一漏洞,但他將許多知名Twitter用戶(包括政界人士和官員)的電話號碼轉至WhatsApp群組中以便直接警告用戶。
對此,Twitter方面表示,他們正在努力確保不讓這個漏洞再次遭到利用。“在得知這個漏洞後,我們暫停了那些非法獲取個人信息的賬號。保護Twitter用戶的隱私和安全是我們的首要任務,我們仍致力於快速阻止垃圾郵件和來自Twitter API的濫用。”
Twitter表示,在看到這份報告後,它立刻進行了乾預,並封禁了一個用來查詢Twitter API的龐大虛假帳戶網絡(幾乎全用來將電話號碼與Twitter用戶名進行匹配)。
在調查報告期間,這家社交網絡公司告訴ZDNet,除了TechCrunch報告的安全研究員之外,還發現了其他第三方也利用了這個API的缺陷。Twitter沒有表示這個第三方是誰,但表示其中涉及的一些IP地址與國家資助的黑客行動有關。現如今有越來越多的黑客組織在政府的資助下對他國政府機構和大型企業進行攻擊。