圖片來源: 

Twitter

最近Twitter很不平靜,上周才修補其Android程式含有帳號可遭控制的安全漏洞,本周一名安全研究人員Ibrahim Balic又爆料,他利用Android版Twitter程式的通訊錄上傳功能臭蟲,找到了1,700萬組電話號碼的主人。

Twitter程式提供了一個通訊錄上傳功能,目的是為了讓用戶能夠藉由通訊錄上的電話號碼或電子郵件找到Twitter上的友人,為了避免遭到濫用,Twitter禁止使用者上傳連續格式的電話號碼,但Balic繞過了這個限制。

Balic向TechCrunch爆料,他先創造了20億個電話號碼,然後將它們打散,再把它們透過Android程式上傳,Twitter就會回覆與這些電話號碼配對的主人資訊。Balic花了兩個月的時間找到了1,700萬組電話號碼的主人,其中不乏知名的政治家與政府官員。但Twitter在12月20日就封鎖了Balic的行為。

Twitter對Balic的行為很不滿,因為Balic在發現該臭蟲時,並未通報Twitter,反而建立了數百個假帳號來上傳這些電話號碼以辨識使用者,而且直接把結果提供給媒體。

Twitter表示,該公司非常認真對待相關的報告,且積極地展開調查以確保該漏洞未來不會再出現,當他們得知此一漏洞時,即終止這些不當訪問他人個人資訊的帳號,之後也會繼續防止有人發送垃圾訊息或濫用Twitter的APIs。


Advertisement

更多 iThome相關內容