推特最近在全球范围内发现并关闭了一个庞大的虚假账户网络,这些账户集体滥用了允许他们将手机号码与用户账户匹配的功能。万博体育登录首页TechCrunch之前也提到过同样的问题2019年12月24日,也就是推特表示“已经意识到”发生了虐待事件的这一天。
安全研究人员在推特应用程序上发现漏洞
安全研究员易卜拉欣·巴利克发现了一个漏洞安卓的Balic的发现让他通过官方API提交了成千上万的智能手机号码,该API会返回所有相关的用户账户。
我们最近发现了一个问题,它允许不良分子将特定的电话号码与Twitter上相应的账户进行匹配。我们很快纠正了这个问题,很抱歉发生了这样的事情。你可以在这里了解更多有关我们的调查:https://t.co/Z6Q4geQ8jo - Twitter支持(@TwitterSupport)2020年2月3日
如果启用该功能,你的朋友可以通过你的微博搜索你的微博移动号码。然而,提交数以千万计的数字“超出了其假定的用例”。
关闭该功能的用户不会受到该漏洞的影响。电话号码还包括为双重身份验证而注册的电话号码。因此,使用Twitter功能的用户可能在不知情的情况下容易受到此漏洞的攻击。
调查人员称,一些推特用户利用了这个漏洞
当微博和社交网络服务公司收到这一问题的警报时,调查人员发现了更多利用这一漏洞的账户。然而,一位代表拒绝提供这些数字。
在一份安全公告中,Twitter发现来自伊朗、以色列和马来西亚的个人IP地址的请求数量特别不成比例。“其中一些IP地址也可能与国家支持的行为者有联系,”公告继续说道。
任何涉嫌滥用该功能的账户都将被暂停使用。API本身已被修改,以防止进一步利用该特性。
还读:推特测试了一项新功能,建议用户取消关注:这是它背后的原因
推特承认利用双因素电话号码和电子邮件投放定向广告
2019年,推特发生了几起发现或泄露用户记录的事件。然而,该组织承认,他们使用了推特网民提供的手机号码进行双向认证,以提供重点广告说目前还不清楚有多少用户受到了影响。推特承认其定向广告是“一个错误”,并道歉。
挑战来自于公司的量身定制的观众节目.该计划允许广告公司通过用户的手机号码和电子邮件地址,将分类广告投放到自己的广告和营销列表中。在广告商上传广告列表后,它会将Twitter客户与用户提交的详细信息进行匹配,以便在他们的账户上建立双向认证。
双向认证是一项重要的安全功能,这使得黑客侵入个人账户更具挑战性。虽然也有少数人使用手机零钱作为获取双向密码的一种方式,但这种方式由来已久倾向拦截和SIM卡交换攻击。用户被敦促转到Twitter基于验证者的双向验证.
2018年,该组织承认以纯文本形式存储密码,尽管已经了解了大约两年,但还是披露了一个手机号码泄露漏洞。5月份,该公司证实了一次位置统计数据泄露。
