示意圖,與新聞事件無關。

圖片來源: 

Twitter

推特(Twitter)本周指出,該站提供給用戶聯繫Twitter有關帳號問題的支援格式(support forms)含有一個臭蟲,將允許他人存取Twitter用戶電話號碼上的國碼,以判斷該用戶的居住地,或是得知該帳號是否被鎖住,而且已遭到濫用。揭露該臭蟲的研究人員Peerzada Fawaz Ahmad Qureshi則說,他兩年前就提報了該臭蟲,只是當時Twitter並沒有把它當作一回事。

Qureshi向TechCrunch解釋,在使用Twitter的密碼重設功能時,若是選擇「我無法存取該帳號的電子郵件」,假設用戶曾經在該帳號中留下自己的電話號碼,就會跳到輸入電話號碼的頁面,該頁面即會自動秀出電話號碼的國碼。因此只要知道他人的Twitter帳號,都可以透過此一方式得知他人的國碼。

Qureshi說,當時Twitter僅在報告中回覆了「資訊豐富」(informative),沒有其它額外的行動,就結案了。

這看起來真的不是什麼太嚴重的臭蟲,因為它只揭露了國碼,並未揭露用戶的電話號碼或其它個人資訊。然而,Twitter在本周指出,他們觀察到來自中國及沙烏地阿拉伯之個別IP位址的大量查詢,雖然無法判斷這些人的意圖,但有些IP可能與國家支持的駭客有關,於是在今年的11月16日修補了該臭蟲。

Twitter除了已經直接知會確定受到影響的用戶之外,也希望藉由此一公開的通知警告其它可能受到影響的用戶。


Advertisement

更多 iThome相關內容