一位安全研究人员利用Twitter安卓应用程序中的一个漏洞识别了数百万Twitter用户,将他们的电话号码与Twitter的id连接起来。利用此漏洞可能会暴露该公司的双因素身份验证系统中的故障,并使其他安全开发人员停滞不前。
根据TechCrunch的一份报告,研究人员易卜拉欣·巴里克(Ibrahim Balic)创建了随机电话号码列表,并将其发送到Twitter。
“如果你上传你的电话号码,它会获取用户数据作为回报,”他说。
用户数据允许Balic找到许多主要Twitter“名人”的电话号码,其中包括一位“以色列资深政治家”的私人号码
“得知这一漏洞后,我们暂停了用于不当访问人们个人信息的帐户。保护使用Twitter的人的隐私和安全是我们的首要任务,我们将继续致力于快速阻止由于使用Twitter的api而产生的垃圾邮件和滥用行为,”Twitter发言人说。
当Balic上传了数百万个电话号码并要求Twitter与用户匹配时,这个漏洞暴露了用户帐户。通常,只有当新用户在手机上安装应用程序时,才会使用此接口,但是,通过使用一组API调用,Balic能够欺骗这种行为。由此产生的对隐私的侵犯——本质上是将实数连接到真实的Twitter句柄——可能会降低金融应用程序和钱包上流行的两因素身份验证方案的效率。(本文素材来源于网络,如有侵权,请联系作者删除!)
5670
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
