Twitter 與其他社交平台一樣,都有提供用電話號碼來尋找相熟用戶的功能。不過這個功能早前被發現可以被濫用作為逆向配對帳戶的電話號碼,令個人資料外流。Twitter 最近亦承認有人曾利用這個漏洞有規模地配對電話號碼。
Twitter 表示,他們發現了之前有大量來自伊朗、以色列和馬來西亞的 IP,透過這個功能大量發出配對電話號碼的要求。他們認爲其中一些 IP 可能與國家背景的駭客組織相關,因為伊朗本身是封鎖了 Twitter 無法連接,可以這樣大規模攻擊的很可能是國家容許甚至操控。Twitter 雖然後來已經修復了漏洞,不過在修復之前已經被配對大量帳戶。
據安全研究人員 Ibrahim Balic 之前透露,他發現這個漏洞之後已經測試了配對 1,700 萬個電話號碼和帳戶,如果背後是有規模的國家組織,可能配對所得的資料更多。雖然資訊安全專家認爲 Twitter 應該通知受影響的用戶,但 Twitter 並未採取行動,表示他們未能知悉實際有哪個帳戶可能受到影響。
來源:Reuters