Twitter Bug暴露了數百萬個用戶電話號碼

Twitter Bug暴露了數百萬個用戶電話號碼

安全研究人員能夠使用Twitter Android應用中的錯誤來識別數百萬個Twitter用戶,並將其電話號碼連接到其Twitter ID。該漏洞可能暴露該公司的兩因素身份驗證系統中的故障,並使其他安全開發人員暫停。

根據TechCrunch的報告,研究人員Ibrahim Balic創建了隨機的電話號碼列表,並將其發送到Twitter。

他說:“如果您上傳電話號碼,它將獲取用戶數據作為回報。”

用戶數據使Balic可以查找許多主要Twitter“名人”的電話號碼,包括“以色列高級政客”的私人電話號碼。

“得知此錯誤後,我們暫停了用於不當訪問人們個人信息的帳戶。Twitter發言人說:“保護Twitter用戶的隱私和安全是我們的第一要務,我們將繼續致力於迅速阻止因使用Twitter API而產生的垃圾郵件和濫用行為。”

當Balic上傳數百萬個電話號碼並要求Twitter將其與用戶匹配時,該錯誤暴露了用戶帳戶。通常,僅當新用戶在其手機上安裝該應用程序時才使用此界面,但是使用一組API調用,Balic能夠欺騙此行為。由此導致的隱私洩露(本質上是將真實數字連接到真實的Twitter句柄)可能會降低在金融應用程序和錢包中流行的兩因素身份驗證方案的功效。

閱讀更多

ETHoutlet
Technology, 科技 27 12 月 2019