叽叽喳喳最近已经确定并关闭了全球庞大的假帐户网络,该网络集体滥用了一个函数,使他们可以将手机号码与用户帐户匹配。TechCrunch以前也说过同样的问题2019年12月24日,Twitter的那一天也称,这已经“意识到”正在发生这种虐待。
安全研究人员在Twitter应用程序上发现了错误
安全研究员易卜拉欣·巴里奇(Ibrahim Balic)发现了一个错误Android的Twitter应用程序。 Balic发现的是,他通过官方API提交了数千份智能手机号码,该官方API返回了任何相关的用户帐户。
该功能(如果已启用)将允许您的朋友通过您的Twitter搜索您的Twitter处理移动的数字。但是,提交数千万的数字“超出了其假定的用例”。
关闭该功能的用户不受错误的影响。此外,电话号码还包括用于两因素身份验证的目的。因此,使用Twitter功能的用户可能在不知道的情况下很容易受到此漏洞的影响。
调查员说,几个Twitter用户利用了该错误。
Twitter的调查人员确定了在微博和社交网络服务受到警告时,这些帐户正在利用该错误。但是,代表拒绝提供数字。
在安全公告中,Twitter观察到来自位于伊朗,以色列和马来西亚的单个IP地址的特定数量不成比例的请求。公告继续说:“这些IP地址中的许多也可能与国家赞助的参与者有联系。”
任何涉嫌滥用该功能的帐户都被暂停。 API本身已被更改,以防止对此功能进行任何进一步的利用。
Twitter承认利用两因素电话号码,用于服务有针对性广告的电子邮件
Twitter发生了几起事件,该事件在2019年发现了或泄漏了用户记录。但是,该组织承认,它使用了Twitter Netizens提供的双向身份验证提供的手机号码来提供专注的广告。社交媒体巨头说它不知道有多少用户受到影响。 Twitter承认其目标广告是“错误”,并道歉。
挑战源于公司的量身定制的观众计划。该计划允许这些机构通过用户的手机号码和电子邮件地址将分类广告定位为自己的广告和营销列表。在广告客户上传他们的广告列表后,它将Twitter客户与用户提交的详细信息进行了匹配,以在其帐户上设置双向身份验证。
双向身份验证是一项基本的安全功能,它使黑客入侵个人帐户更具挑战性。尽管少数使用他们的手机更改为获取双向代码的一种方式,但这是一种长期以来的方法易于拦截和模拟交换攻击。敦促用户转移到Twitter的基于身份验证的双向验证。
在2018年,该组织承认将密码存储在纯文本中,尽管大约了解了两年,但该密码揭示了手机号码泄漏错误。它确认了5月的位置统计泄漏。
