最近Twitter很不平静,上周才修补其Android程序含有账号可遭控制的安全漏洞,本周一名安全研究人员Ibrahim Balic又爆料,他利用Android版Twitter程序的通讯录上传功能bug,找到了1,700万组电话号码的主人。
Twitter程序提供了一个通讯录上传功能,目的是为了让用户能够借由通讯录上的电话号码或电子邮件找到Twitter上的友人,为了避免遭到滥用,Twitter禁止用户上传连续格式的电话号码,但Balic绕过了这个限制。
Balic向TechCrunch爆料,他先创造了20亿个电话号码,然后将它们打散,再把它们通过Android程序上传,Twitter就会回复与这些电话号码配对的主人信息。Balic花了两个月的时间找到了1,700万组电话号码的主人,其中不乏知名的政治家与政府官员。但Twitter在12月20日就封锁了Balic的行为。
Twitter对Balic的行为很不满,因为Balic在发现该bug时,并未通报Twitter,反而创建了数百个假账号来上传这些电话号码以识别用户,而且直接把结果提供给媒体。
Twitter表示,该公司非常认真对待相关的报告,且积极地展开调查以确保该漏洞未来不会再出现,当他们得知该漏洞时,即终止这些不当访问他人个人信息的账号,之后也会继续防止有人发送垃圾消息或滥用Twitter的APIs。