Twitter 可能没有像 Facebook 那样卷入重大的隐私和政治丑闻,但它也有相当多的头疼问题。其中大部分源于技术问题,也就是错误,在不应该泄露用户信息的情况下。最新的似乎是一个几乎简单的缺陷,只需通过 Android 上的 Twitter 应用程序上传大量随机生成的号码列表,就可以将电话号码与用户匹配。
安全研究员 Ibrahim Balic 在两个月内发现并测试了该漏洞。Balic 生成了数百万个电话号码,并将它们按非顺序排列,以绕过 Twitter 旨在阻止这种钓鱼企图的安全措施。显然,触发错误是那么容易。
Twitter 允许用户上传联系人号码,以检查他们是否拥有 Twitter 帐户并连接它们。Balic 能够将 1700 万个生成的电话号码与 Twitter 用户帐户匹配,其中一些得到了 TechCrunch 的证实。Twitter 的 Web 界面上没有出现大的。
Balic 没有向 Twitter 报告此事,但在 WhatsApp 群组中提醒了受影响的用户。他说 Twitter 已于 12 月 20 日阻止了这些尝试,公司发言人证实它已暂停以这种方式利用该系统的帐户。它没有确认实际的错误或它为确保联系人上传功能不会再次被利用而采取的措施。
此漏洞可能与 Twitter 本周公开宣布的同样影响 Android 应用程序的漏洞无关。这更像是一个需要更积极的代码注入而不是滥用 Twitter 本身提供的功能的错误。无论如何,它加入了今年报告的 Twitter 漏洞列表,其中一些仅影响社交网络的 Android 应用程序。