Twitter 称第三方攻击者使用其 API 匹配用户名和手机号码

我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  
Twitter 称第三方攻击者使用其 API 匹配用户名和手机号码

Twitter 称第三方攻击者使用其 API 匹配用户名和手机号码

2020年02月04日 21时47分

去年 12 月,安全研究员 Ibrahim Balic 披露他利用一个 Twitter Android app 漏洞匹配了 1700 万用户的手机号码。Twitter 的联络人上传功能会在上传通讯录之后返回匹配到的用户数据,也就是你可以知道一个随机生成的手机号码是否属于一位真实用户。现在,Twitter 发出警告,有第三方攻击者使用其官方 API 匹配用户名和手机号码。Twitter 称,它在调查 Ibrahim Balic 披露的安全漏洞期间发现了有证据显示另外第三方也在利用该 API 漏洞,攻击者使用的部分 IP 地址与国家支持的黑客有关联。Twitter 表示,这一攻击只影响在设置页启用了“Let people who have your phone number find you on Twitter”的用户,没有提供手机号码的用户也不受影响。

Twitter 称第三方攻击者使用其 API 匹配用户名和手机号码

随意打赏

提交建议
微信扫一扫,分享给好友吧。