推特承认泄露1700万名用户信息并称有国家的支持者参与此次攻击
早些时候有研究人员发现推特安卓版存在某些特定缺陷,利用该缺陷可以将部分用户的联系人信息匹配特定账户。
位于土耳其伊斯坦布尔的安全研究人员与外媒交谈时透露这则消息,值得注意的是研究人员并未与推特进行联系。
这名研究人员利用该缺陷批量生成高达20亿个随机号码 , 然后成功在推特上匹配出 1700 万名用户及其号码信息。
尽管与外媒交谈时这名黑客称自己为安全研究人员,不过推特则表示这是恶意攻击行为不是出于安全研究的目的。
推特在经过调查后目前已经发布简要的安全说明,在说明中推特称此次事件为典型的网络攻击用于窃取用户数据。
这名黑客在短短两个月的事件里生成20亿号码,然后通过特定API接口匹配推特账户最终获得 1,700 万用户信息。
所谓匹配联系人即推特打开时会弹出提醒要求用户允许访问通讯录,然后会按通讯录号码给用户推荐真实的好友。
这项功能实际在许多社交软件和即时通讯类应用上都存在,但似乎推特的处理环节存在漏洞而遭到攻击者的利用。
推特调查后发现这次攻击背后似乎是有中东地区国家支持的黑客在操作,目的就是为了获取特定用户的账号信息。
推特在发现问题后已经将匹配通讯录功能临时下线并调整接口,这也是这名黑客公开与外媒交谈透露消息的原因。
推特安卓版首次安装并启动后会提示读取联系人信息,若用户允许的话则联系人信息会被加密上传到推特服务器。
推特根据手机号码匹配联系人信息然后向用户推荐好友,原本基于安全考虑联系人号码不会直接以明文形式上传。
但研究人员发现可以生成随机数字无限制的向推特上传,进而利用推特服务器的匹配功能检索与之相关的账户等。
这名研究人员在短短两个月时间里批量生成高达 20 亿个号码 , 其中高达1700万个号码被成功匹配特定推特账户。
也就是说这名研究人员间接获得 1700 万个推特账户的真实手机号码,对于推特来说这算是非常严重的泄露问题。
推特公司在 12月20日 封堵这枚漏洞才让研究人员透露该漏洞,在此之前这名研究人员并未直接向推特报告漏洞。
而针对这名研究人员的说法推特官方目前并未承认,至少截止至目前还无法确认推特是否真的泄露千万用户信息。
有趣的是推特在上周披露安卓版推特中的严重安全漏洞,攻击者执行特定代码后可以获得用户推特账户的控制权。
目前尚不清楚该漏洞与易卜拉欣发现的这枚漏洞是否相同,不同从推特描述的来看这应该是完全不同的安全问题。