研究员利用 Twitter 应用漏洞将 1700 万个 *** 号码跟用户账号配对
据外媒报道,一名安全研究员日前表示,他通过利用Twitter Android应用中的一个漏洞将1700万个 *** 号码跟Twitter用户的账号户匹配了起来。这位名叫Ibrahim Balic的研究人员发现可以通过Twitter的联系人上传功能上传生成的完整的 *** 号码列表。换言之,如果用户在Twitter上上传了自己的 *** 号码那么平台就会获取用户数据。
Balic指出,Twitter的联系人上传功能不接受连续格式的 *** 号码列表,这可能就是为了阻止上面的这种匹配。然而,Balic生成了20多亿个 *** 号码,一个接一个,然后随机分配这些号码并通过Android应用将它们上传到Twitter上,而基于web的上传功能中不存在这个漏洞。
Balic称,在两个多月的时间里,他匹配了来自以色列、土耳其、伊朗、希腊、亚美尼亚、法国和德国的用户记录,但在Twitter于12月20日对这一漏洞做出反应之后他停止了这种行为。尽管他没有提醒Twitter注意这一漏洞,但他将许多知名Twitter用户(包括政界人士和官员)的 *** 号码转至WhatsApp群组中以便直接警告用户。
对此,Twitter方面表示,他们正在努力确保不让这个漏洞再次遭到利用。“在得知这个漏洞后,我们暂停了那些非法获取个人信息的账号。保护Twitter用户的隐私和安全是我们的首要任务,我们仍致力于快速阻止垃圾邮件和来自Twitter API的滥用。”
据悉,Balic此前因在2013年发现影响苹果开发中心的安全漏洞而出名。
(稿源:cnBeta,封面源自 *** 。)
“研究员利用 Twitter 应用漏洞将 1700 万个 *** 号码跟用户账号配对” 的相关文章
精心伪造的微软客户支持和帮助文档实际上是窃取信息的 Vidar 恶意软件
网络安全公司Trustwave的安全团队SpiderLabs警告Windows用户,一个名为Vidar的新恶意软件活动将自己伪装成微软支持或帮助文件。因此,毫无戒心的用户可能很容易成为受害者,而Vidar是一个偷窃数据的恶意软件,可以窃取被利用者的信息。 微软编译的HTML帮助(CHM)文件虽然现在...
Cloudflare 成功阻止针对其客户最大规模的 HTTPS DDoS 攻击
Cloudflare 透露公司已经阻止了来自多个国家的大规模 HTTPS DDoS 攻击。该公司表示,该僵尸网络每秒发出 1530 万个请求(rps),使其成为针对其客户的最大 HTTPS DDoS 攻击。 Cloudflare 表示本次攻击的目标是针对一家 The Crypto Launchp...
SentinelLabs 敦促 Azure Defender for IoT 用户尽快安装补丁
SentinelOne 的 SentinelLabs 去年就曾发现 Microsoft Azure 的 Defender 存在多个安全漏洞,其中部分漏洞的严重程度和影响被评为“关键”。微软已经为所有的漏洞发布了补丁,但 SentinelLabs 敦促 Azure Defender for IoT 用...
Google Chrome 99.0.4844.84 紧急更新修复了已被利用的零日漏洞
Google已经为Windows、Mac和Linux用户发布了Chrome 99.0.4844.84,以解决一个在外部被利用的高严重性零日漏洞。浏览器供应商在周五发布的安全公告中说:”Google已经得知CVE-2022-1096的一个漏洞存在于外部。” 99.0.4844.84版本已经在稳定的桌...
黑客用新 Rootkit 攻击银行网络从 ATM 机上窃取资金
Hackernews 编译,转载请注明出处: 据观察,一个利益熏心的黑客正在部署一个全新的针对 Oracle Solaris 系统的 rootkit,目的是ATM机网络,并在不同银行使用伪造的卡进行未经授权的现金提款。 威胁情报和事件应急公司 Mandiant 正在追踪名为 UNC2891的组织,...
育碧通报网络安全事件 全公司已采取重置密码的预防措施
在周四的一份网络安全公告中,育碧(Ubisoft)证实该公司在上周遭遇了一起“网络安全事件”。尽管攻击尝试似乎未能造成破坏,但出于安全方面的考虑,育碧还是采取了全公司范围内的密码重置措施,以防发生其它意外。在此期间,育碧暂停了部分服务,但坚称没有玩家数据受到损害。截止发稿时,该公司旗下所有游戏和服...
评论列表
发表评论
