近日推特宣布已經(jīng)修復(fù)存在于API中的一個(gè)漏洞，該漏洞允許黑客可以輕松地將用戶推特賬號和手機(jī)號碼匹配起來。在公告中，推特表示已經(jīng)檢測到數(shù)起利用該漏洞發(fā)起的攻擊，主要來自于以色列，馬來西亞和伊朗，并有極大可能有政府參與其中。

去年12月，一名安全研究員表示通過利用Twitter Android應(yīng)用中的一個(gè)漏洞將1700萬個(gè)電話號碼跟Twitter用戶的賬號戶匹配了起來。換言之，如果用戶在Twitter上上傳了自己的電話號碼那么平臺就會獲取用戶數(shù)據(jù)。

Balic指出，Twitter的聯(lián)系人上傳功能不接受連續(xù)格式的電話號碼列表，這可能就是為了阻止上面的這種匹配。然而，Balic生成了20多億個(gè)電話號碼，一個(gè)接一個(gè)，然后隨機(jī)分配這些號碼并通過Android應(yīng)用將它們上傳到Twitter上。Balic指出，基于web的上傳功能中不存在這個(gè)漏洞。

Balic稱，在兩個(gè)多月的時(shí)間里，他匹配了來自以色列、土耳其、伊朗、希臘、亞美尼亞、法國和德國的用戶記錄，但在Twitter于12月20日對這一漏洞做出反應(yīng)之后他停止了這種行為。盡管他沒有提醒Twitter注意這一漏洞，但他將許多知名Twitter用戶(包括政界人士和官員)的電話號碼轉(zhuǎn)至WhatsApp群組中以便直接警告用戶。

對此，Twitter方面表示，他們正在努力確保不讓這個(gè)漏洞再次遭到利用。“在得知這個(gè)漏洞后，我們暫停了那些非法獲取個(gè)人信息的賬號。保護(hù)Twitter用戶的隱私和安全是我們的首要任務(wù)，我們?nèi)灾铝τ诳焖僮柚估]件和來自Twitter API的濫用。”

Twitter表示，在看到這份報(bào)告后，它立刻進(jìn)行了干預(yù)，并封禁了一個(gè)用來查詢Twitter API的龐大虛假帳戶網(wǎng)絡(luò)(幾乎全用來將電話號碼與Twitter用戶名進(jìn)行匹配)。

在調(diào)查報(bào)告期間，這家社交網(wǎng)絡(luò)公司告訴ZDNet，除了TechCrunch報(bào)告的安全研究員之外，還發(fā)現(xiàn)了其他第三方也利用了這個(gè)API的缺陷。Twitter沒有表示這個(gè)第三方是誰，但表示其中涉及的一些IP地址與國家資助的黑客行動(dòng)有關(guān)?，F(xiàn)如今有越來越多的黑客組織在政府的資助下對他國政府機(jī)構(gòu)和大型企業(yè)進(jìn)行攻擊

關(guān)鍵詞：