Twitter应用程序错误用于将1700万个电话号码与用户帐户匹配

一位安全研究人员表示，他已经为Twitter匹配了1700万个电话号码利用Twitter的Android应用程序中的漏洞来创建用户帐户。

Ibrahim Balic发现可以通过Twitter的联系人上传功能上传生成的电话号码的完整列表。他告诉TechCrunch：“如果您上传电话号码，它将获取用户数据作为回报。”

他说，Twitter的联系人上传功能不接受连续格式的电话号码列表，这可能是防止这种匹配的一种方式。相反，他生成了超过20亿个电话号码，一个接一个，然后随机分配这些号码，并通过Android应用程序将其上传到Twitter。(Balic说，该错误在基于Web的上传功能中不存在。)

Balic说，在两个月的时间里，他与来自以色列，土耳其，伊朗，希腊，亚美尼亚，法国和德国的用户的记录进行了匹配，但在Twitter于12月20日阻止了这项工作后就停止了。

Balic向TechCrunch提供了他匹配的电话号码样本。使用该站点的密码重置功能，我们通过比较随机选择的用户名和提供的电话号码来验证他的发现。

在一个案例中，TechCrunch能够使用他们匹配的电话号码识别一位以色列高级政治人物。

尽管他没有向Twitter警告该漏洞，但他将许多备受关注的Twitter用户的电话号码(包括政客和官员)带到WhatsApp小组，以直接警告用户。

人们不认为Balic的努力与本周发布的Twitter博客文章有关，该文章证实了一个错误可能使“不良行为者看到非公开帐户信息或控制您的帐户”，例如推文，直接消息和位置信息。

Twitter发言人告诉TechCrunch，该公司正在努力“确保不会再次利用此错误。”

“得知此错误后，我们暂停了用于不当访问人们个人信息的帐户。维护使用Twitter的人的隐私和安全是我们的第一要务，我们将继续致力于迅速阻止使用Twitter API产生的垃圾邮件和滥用行为。”

这是过去一年涉及Twitter数据的最新安全漏洞。5月，Twitter承认将帐户位置数据提供给了其合作伙伴之一，即使用户选择不共享其数据也是如此。该公司在八月份表示，无意中向其广告合作伙伴提供了超出应有的数据。就在上个月，Twitter确认已使用用户提供的电话号码进行两因素身份验证，以投放目标广告。

Balic以前因发现安全漏洞漏洞而闻名，该漏洞在2013年影响了Apple开发人员中心。