黑客利用Twitter漏洞查找用户的链接电话号码

Twitter今天发布警告称，攻击者滥用其平台上的合法功能，未经授权确定与其数百万用户账户相关的电话号码。

据Twitter称，该漏洞存在于其中一个API中，该API旨在让用户通过将联系人中储存的电话号码与Twitter账户进行匹配，更容易在Twitter上找到他们可能已经认识的人。

需要指出的是，该功能完全按照预期工作，除了有人不应该上传数以百万计的随机生成的电话号码，并滥用Twitter来披露与用户为启用安全功能而添加到Twitter的联系信息相关的个人资料。

尽管该公司不确定该漏洞是否仅被一个对手或多个团体利用，但它已经确定了多个参与攻击的账户，这些账户分布在多个国家，主要来自伊朗、以色列和马来西亚。

根据他们的IP地址，Twitter认为一些利用API漏洞的账户可能与国家赞助的参与者有关；因此，它“出于谨慎和原则，披露了这一事件”

Twitter在一篇博客文章中说：“我们立即暂停了这些账户，并于今天向你们披露了我们调查的细节，因为我们相信，你们知道发生了什么，以及我们是如何修复的，这一点很重要。”。

去年12月24日，一名安全研究人员“不道德地”利用Twitter上类似或相同的漏洞，成功地将近1700万个电话号码与他们的个人资料进行匹配，该公司意识到了这一问题。

Twitter表示，自那以后，该社交网站已经解决了这个问题，用户方面不需要采取任何行动。

Twitter说：“在我们的调查之后，我们立即对这个端点进行了一些更改，这样它就不能再返回特定的帐户名来回应查询了。”。

然而，如果你不知道，你也可以通过导航到Twitter帐户中的“可发现性”设置并禁用它，阻止任何人根据你的电子邮件地址或电话号码查找你的个人资料。