推特(Twitter)本周指出,该站提供给用户联系Twitter有关帐号问题的支持格式(support forms)含有一个bug,将允许他人访问Twitter用户电话号码上的国码,以判断该用户的居住地,或是得知该帐号是否被C住,而且已遭到滥用。披露该bug的研究人员Peerzada Fawaz Ahmad Qureshi则说,他两年前就提报了该bug,只是当时Twitter并没有把它当作一回事。
Qureshi向TechCrunch解释,在使用Twitter的密码重设功能时,若是选择“我无法访问该帐号的电子邮件”,假设用户曾经在该帐号中留下自己的电话号码,就会跳到输入电话号码的页面,该页面即会自动秀出电话号码的国码。因此只要知道他人的Twitter帐号,都可以通过该方式得知他人的国码。
Qureshi说,当时Twitter仅在报告中回复了“信息丰富”(informative),没有其它额外的行动,就结案了。
这看起来真的不是什么太严重的bug,因为它只披露了国码,并未披露用户的电话号码或其它个人信息。然而,Twitter在本周指出,他们观察到来自某些国家的个别IP地址的大量查找,虽然无法判断这些人的意图,但有些IP可能与国家支持的黑客有关,于是在今年的11月16日修补了该bug。
Twitter除了已经直接知会确定受到影响的用户之外,也希望借由该公开的通知警告其它可能受到影响的用户。