Twitter应用程序错误用于将1700万个电话号码与用户帐户匹配

 
一位安全研究人员表示，他已经利用Twitter Android应用程序中的一个漏洞，将1,700万个电话号码与Twitter用户帐户进行了匹配。
Ibrahim Balic发现可以通过Twitter的联系人上传功能上传生成的电话号码的完整列表。他告诉TechCrunch：“如果您上传电话号码，它将获取用户数据作为回报。”
他说，Twitter的联系人上传功能不接受顺序格式的电话号码列表，这可能是防止这种匹配的一种方式。相反，他生成了超过20亿个电话号码，一个接一个，然后随机分配这些号码，并通过Android应用程序将其上传到Twitter。 (Balic说，该错误在基于Web的上传功能中不存在。)
Balic说，在两个月的时间里，他与来自以色列，土耳其，伊朗，希腊，亚美尼亚，法国和德国的用户的记录进行了匹配，但在Twitter于12月20日阻止了这项工作后就停止了。
Balic向TechCrunch提供了他匹配的电话号码样本。通过使用网站的密码重置功能，我们通过比较随机选择的用户名和提供的电话号码来验证他的发现。
在一个案例中，TechCrunch能够使用他们匹配的电话号码识别一位以色列高级政治人物。
尽管他没有向Twitter警告该漏洞，但他将许多备受关注的Twitter用户的电话号码(包括政客和官员)带到WhatsApp小组，以直接警告用户。
人们不认为Balic的努力与本周发布的Twitter博客帖子有关，该帖子证实了一个错误可能使“不良行为者看到非公开帐户信息或控制您的帐户”，例如推文，直接消息和位置信息。
Twitter发言人告诉TechCrunch，该公司正在努力“确保不会再次利用此错误。”
“得知此错误后，我们暂停了用于不当访问人们个人信息的帐户。维护Twitter使用者的隐私和安全是我们的首要任务，我们将继续致力于迅速制止因使用Twitter API而产生的垃圾邮件和滥用行为。”
这是过去一年涉及Twitter数据的最新安全漏洞。 5月，Twitter承认将帐户位置数据提供给了其合作伙伴之一，即使用户选择不共享其数据也是如此。该公司在八月份表示，无意中向其广告合作伙伴提供了超出应有的数据。就在上个月，Twitter确认已使用用户提供的电话号码进行两因素身份验证，以投放目标广告。
Balic以前因发现安全漏洞漏洞而闻名，该漏洞在2013年影响了Apple开发人员中心。