网上的活动虽然大多都是匿名,但是有时一些漏洞却会让我们的电话号码与网上数据配对,后果可大可小。最近一个 Twitter 的漏洞就被发现可以用作配对电话用途,研究人员发现至少 1,700 万个用户受到影响。
网络安全研究人员 Ibrahim Balic 表示,这个漏洞存在于 Twitter 的 Android App,当用家使用联络人上载功能的时候,Twitter 会提供该电话号码的所属用户作回应。这个功能虽然有其用处,但却容许有心滥用的人利用漏洞来配对电话。Ibrahim Balic 制作了一个多达 200 亿个随机电话号码的清单,透过这个方式进行配对,其中成功找到 1,700 万个来自以色列、伊朗、希腊、阿美尼亚、法国和德国的用户数据。
他找到这个漏洞之后,已经直接通知部分受影响的政客和高官,Twitter 方面亦表示他们正在采取办法确保漏洞不可再被利用,并且已经停用部分用作存取用户个人数据的帐户。他们早前推出一个更新,修复一个「让攻击者存取非公开帐户数据甚至控制帐户」的漏洞,不过应该与今次的漏洞无关。
虽然这个漏洞已经修复,但用家如果希望尽量避免电话与帐户被配对,可以在 Twitter 的 Settings > Accounts > Login & Security > Phone 长按电话将之移除。类似的功能其实在很多社交平台上出现,Telegram 之前都有类似的漏洞被滥用,因此将电话号码连结到社交平台,其实也是可免则免。
