研究人员利用上传漏洞将1700万个电话号码匹配到Twitter账户

一位安全研究人员利用Twitter公司（T witterInc.）Android应用程序的一个缺陷，在最新的涉及微博服务的隐私漏洞中，将1700万个电话号码与用户账户相匹配。

今天由TechCrunch首次报道，并由漏洞研究人员IbrahimBalic发现，该漏洞利用了Twitter中的一个功能，该功能允许用户上传联系人，然后将它们与Twitter用户匹配。

为了避免被Twitter拒绝，Balic在两个月的时间里使用了约20亿个订单混合的电话号码，与Twitter用户的1700万个电话号码相匹配。用户分布在以色列、土耳其、伊朗、希腊、亚美尼亚、法国和德国。

虽然与Twitter账户匹配电话号码似乎一开始并不是一个严重的问题，但Balic使用该电话号码与Twitter账户匹配，以识别政治家和官员的私人电话号码。

Balic没有通知Twitter，但确实直接警告了一些用户。12月20日，Twitter发布了Android应用程序的安全警告。

然而，这一警告描述了Twitter Android应用程序的一个缺陷，即“可以允许坏演员查看非公共帐户信息或控制您的帐户”，使用“一个复杂的过程，包括将恶意代码插入Twitter应用程序的限制存储区域”。Balic的过程不涉及恶意代码或其他形式的黑客攻击，而是简单地使用现有的Twitter功能。

推特（Twitter）对这份报告做出回应，告诉恩加德特（Engadget），它“认真对待”这样的报告，并且正在“积极调查”，以防止这种错误再次被利用。

Twitter补充说：“当我们了解到这一漏洞时，我们暂停了用于不当访问人们个人信息的账户。“保护使用Twitter的人的隐私和安全是我们的首要任务，我们仍然专注于迅速阻止源自使用Twitter API的垃圾邮件和滥用。

考虑到Balic唯一的罪行是利用该公司开门的服务，然后分享细节（如果不是Twitter本身的话），Twitter回应中的语气有些令人惊讶。没有答案的问题是，其他人，特别是那些有邪恶意图的人，是否也可以利用这个特征。