推特又曝光漏洞，駭客可透過上傳通訊錄得知他人電話號碼

現在不少社交應用會提示使用者可以透過上傳通訊錄來得知有哪些潛在的好友，而一位網路安全研究員則發現在，這樣的功能在推特上可能會有潛在的漏洞風險，把推特使用者的電話號碼暴露出來。

網路安全研究員Ibrahim Balic向TechCrunch表示，透過推特安卓應用的通訊錄上傳功能中的一個BUG，他能夠將至少1700萬個電話號碼與其它們相對應的Twitter使用者帳戶進行配對。

圖片來源：Techspot

一般來說，通訊錄上傳功能不接受順序的電話號碼，也就是例如1001、1002、1003這樣的。但是Ibrahim Balic發現，“如果使用者上傳電話號碼，那麼系統之後將會反饋使用者一些資料。” 也就是說，這個原本是用來防止使用者進行號碼配對的限制措施會失效。

Ibrahim Balic順序生成了20億個隨機的電話號碼，然後利用安卓應用程式將其上傳到推特，因為iOS似乎沒有不受此影響。經過兩個月的嘗試後，他最終得到了來自以色列，伊朗，土耳其，亞美尼亞，法國，德國和希臘的一長串匹配電話號碼的使用者名稱。TechCrunch以成功使用推特的密碼重置功能來證實這個發現。

目前沒有證據顯示Ibrahim Balic發現的漏洞與推特上週的另一個漏洞有關。上週的漏洞可以讓使不法分子看到使用者的非公開的帳戶資訊甚至直接控制使用者的帳戶”，從而可能暴露使用者的對話訊息、位置資訊以及受保護的推文。

有趣的是，Ibrahim Balic並未向推特官方反映這個漏洞，而是決定以政客和知名人仕的知名Twitter帳戶的電話號碼來建立WhatsApp群並且直接警告這些人仕。

Twitter的發言人表示：“我們這度重視這些報告，並且正在積極調查中，確保不會有人再次利用這個BUG。當我們知道這個BUG時，我們關停了非法訪問他人資訊的賬戶。” 換句話說，推特官方刪除了Ibrahim Balic的推特賬戶。

目前推特並沒有放出可以預防這個漏洞的更新。