Twitter API被滥用以将用户名与电话号码匹配

发布者： 发布时间：2020-02-07

E安全2月5日讯，据外媒报道，近日，有安全研究人员发现黑客组织正在利用社交网络Twitter的应用程序编程接口（API）将用户名与电话号码进行匹配。Twitter的安全人员注意到，其中大量的API请求均来自以色列、伊朗和马来西亚的互联网协议地址。

Twitter怀疑，进行此次操作的黑客组织可能与部分国家政府有直接关系。

据了解，一位名叫Ibrahim Balic的安全研究人员，此前曾在两个月内通过利用Twitter Android应用中的一个漏洞成功的将1700万个电话号码跟Twitter用户的账号户进行匹配，直到Twitter阻止了API查询。

为了避免被Twitter拒绝，Balic在两个月的时间里使用了约20亿个订单混合的电话号码，与Twitter用户的1700万个电话号码相匹配。用户分布在以色列、土耳其、伊朗、希腊、亚美尼亚、法国和德国。

虽然与Twitter账户匹配电话号码似乎一开始并不是一个严重的问题，但Balic在发现此漏洞后并没有及时上报给Twitter，而是私自使用该漏洞，将几位知名政治家和官员的私人电话与Twitter账户匹配，并成立了WhatsApp小组以直接对Twitter发出警告，后者才开始重视此漏洞。

事后，鉴于Balic的过程不涉及恶意代码或其他形式的黑客攻击，而是简单地使用现有的Twitter功能。因此，没有被做出任何处分。

目前，Twitter还并未透露黑客在此次攻击使用了多少假帐户以及目标用户的具体数量。虽然已为数据泄漏道歉，但并未表示将联系受其影响的人。