网络活动虽然大多匿名,但有时一些漏洞却会让我们的电话号码与网络资料配对,后果可大可小。最近 Twitter 漏洞就发现可配对电话,研究人员发现至少 1,700 万个用户受到影响。
网络安全研究人员 Ibrahim Balic 表示,这个漏洞存于 Twitter 的 Android App,当用户使用联络人上传功能,Twitter 会提供该电话号码的所属用户回应。这个功能虽然有用处,但却容许有心滥用的人利用配对电话。Ibrahim Balic 制作多达 200 亿个随机电话号码的清单,以此方式配对,成功找到 1,700 万个来自以色列、伊朗、希腊、亚美尼亚、法国和德国的用户资料。
他找到这个漏洞之后,已直接通知部分受影响的政客和高官,Twitter 也表示正采取办法确保漏洞不再被利用,并停用部分存取用户个人资料的账户。Twitter 稍早推出更新,修复一个“让攻击者存取非公开账户资料甚至控制账户”的漏洞,不过应与这次漏洞无关。
虽然这漏洞已修复,但用户如果希望尽量避免电话与账户配对,可在 Twitter 的 Settings→Accounts→Login & Security→Phone 长按电话将之移除。类似功能其实在很多社交平台出现,Telegram 之前都有类似漏洞遭滥用,因此将电话号码连结到社交平台,其实可免则免。
- A Twitter app bug was used to match 17 million phone numbers to user accounts
(本文由 Unwire HK 授权转载;首图来源:pixabay)
