上网虽然大多都是匿名,但是有时一些漏洞却会让我们的电话号码与网上资料配对,后果可大可小。最近一个Twitter 的漏洞就被发现可以用作配对电话用途,至少1,700 万个用户受到影响。
网络安全研究人员Ibrahim Balic 表示,这个漏洞存在于Twitter 的Android App,当用家使用联络人上载功能的时候,Twitter 会提供该电话号码的所属用户作回应。这个功能虽然有其用处,但却容许不法分子利用漏洞来配对电话。Ibrahim Balic 制作了一个多达200 亿个随机电话号码的清单,透过这个方式进行配对,最后配对成功找到1,700 万个来自以色列、伊朗、希腊、阿美尼亚、法国和德国的用户资料。
Twitter 方面亦表示他们正在采取办法确保漏洞不会再被恶意利用,并且已经停用部分用作存取用户个人资料的帐户。早前推出一个更新,修复了一个「让攻击者存取非公开帐户资料甚至控制帐户」的漏洞,不过那个修复与这次的漏洞无关。
虽然这个漏洞已经修复,但用户如果避免电话与帐户被配对,可以在Twitter 的Settings > Accounts > Login & Security > Phone 长按电话将之移除。类似的功能其实在很多社交平台上出现,Telegram 之前都有类似的漏洞被滥用。
分享到:
