Twitter 漏洞導致輸入電話號碼即可找到主人帳號,超過 1,700萬筆電話號碼受影響

智慧手機的興起,掀起 LINE、Facebook、Instagram、Twitter …等社群網站旋風,每一個人至少都有一個社群帳號。以前註冊社群軟體只要有 Email 電子郵件就能註冊,而今多數社群都會要求使用者輸入電話號碼綁定。雖然說社群公司總是說使用者的個人資料、電話號碼、網路活動…等都是匿名,會保障使用者安全,但是…漏洞總是防不勝防,就像近日才剛修補的 Android 系統的 Twitter 推特程式又被發現漏洞,資安人員在 Twitter 輸入電話號碼,就能直接找到電話號碼的主人的帳號,而且受影響的電話號碼超過 1,700 萬筆。

據報導,發現漏洞的是資安研究人員 Ibrahim Balic。 Ibrahim Balic 透露這次漏洞是在 Android 系統的 Twitter App 發現,而且就藏在 Twitter App 的通訊錄上傳功能裡頭。

「通訊錄上傳」功能主要是為了讓使用者可以藉由通訊錄的電話號碼或電子郵件快速找到朋友的 Twitter,同時 Twitter 也會顯示與這些電話號碼的使用者資訊,但為了避免有心人濫用這項功能,Twitter 明定使用者不得上傳連續格式的電話號碼。

雖然 Twitter 有規定,但 Ibrahim Balic 製作超過 20 億個電話號碼的表單,以不連續號碼方式隨機將電話號碼輸入到 Android 系統的 Twitter App 進行配對搜尋電話號碼主人的帳號。花了 2 個月的時間逐一搜尋,Ibrahim Balic 找到 1,700 萬筆電話號碼的主人帳號及個人資料,這些電話號碼主人分別來自以色列、伊朗、希臘、法國和德國等地,而且包括政府官員與政治人物,但 Twitter 在 12 月 20 日封鎖了 Balic 行為。

不過,Ibrahim Balic 發現漏洞之後,並沒有先通知 Twitter,而是透過 WhatsApp 通知受影響的使用者。同時也披露給科技媒體 TechCrunch。為了證實 Ibrahim Balic 所稱漏洞的真實性,TechCrunch 使用他配對的電話號碼清單,並隨機選擇電話號碼進行驗證,確實可以直接搜尋到使用者帳號,因此認為 Ibrahim Balic 所說不假。

TechCrunch 向 Twitter 公司詢問後,Twitter 表示公司得知這個漏洞時,立即暫停這些不當訪問他人個人資訊的帳號,同時表示維護 Twitter 隱私與安全是第一要務,公司將繼續防止有人使用 Twitter API 發送垃圾訊息或濫用行為。

儘管 Twitter 表示會修正錯誤,但如果你想要避免你的 Twitter 帳號和電話可以被配對的話,只要開啟 Twitter 的「設定」>「帳戶」>「電話」功能,就可以刪除電話號碼,這樣一來其他人就無法透過搜尋電話號碼找到你的帳號了。

延伸閱讀:

你還在用「123456」?2019 年度最差密碼名單出爐!

調查統計發現高達 61% 惡意廣告專門針對 Windows 攻擊,Chrome OS 排第二

IoT 物聯網隱私被「駭」?UL 分享 IoT 安全評等揭密產品資安能力

公共 USB 充電埠可能藏惡意程式,美國政府官員建議不要用

對抗 Deepfake 假影片!Twitter 推特決定以標記假新聞取代刪除文章

惡意 App 退散!Google 與資安公司共組 「App Defense Alliance」

圖片及資料來源:TechCrunch


大家對網站文章上的一個讚、+1及轉分享,都是對我們的最好的鼓勵及繼續下去的原動力,請大家不要吝嗇。

標籤: , ,