安全研究人员能够使用Twitter Android应用中的错误来识别数百万个Twitter用户,并将其电话号码连接到其Twitter ID。该漏洞可能暴露该公司的两因素身份验证系统中的故障,并使其他安全开发人员暂停。

根据TechCrunch的报告,研究人员Ibrahim Balic创建了随机的电话号码列表,并将其发送到Twitter。

他说:“如果您上传电话号码,它将获取用户数据作为回报。”

用户数据使Balic可以查找许多主要Twitter“名人”的电话号码,包括“以色列高级政客”的私人电话号码。

“得知此错误后,我们暂停了用于不当访问人们个人信息的帐户。Twitter发言人说:“保护使用Twitter的人的隐私和安全是我们的第一要务,我们将继续致力于迅速阻止使用Twitter API引起的垃圾邮件和滥用。”

当Balic上传数百万个电话号码并要求Twitter将其与用户匹配时,该错误暴露了用户帐户。通常,仅当新用户在其手机上安装该应用程序时才使用此界面,但是使用一组API调用,Balic能够欺骗此行为。由此导致的隐私泄露(本质上是将真实数字连接到真实的Twitter句柄)可能会降低在金融应用程序和钱包中流行的两因素身份验证方案的功效。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。