Twitter和LINE之類的社交平台一樣,可以讓用戶透過電話號碼來尋找對應的帳號,不過這項功能最近被發現可以反過來利用,也就是透過帳號來尋找對應的電話號碼,導致許多Twitter用戶的個資外漏。Twitter雖然證實確有此事,但拒絕透露有多少用戶遭殃,宣稱因為無法確認有多少人受到影響,因此不會通知當事人。
《路透社》報導,Twitter的安全研究人員發現有大量來自伊朗、以色列和馬來西亞的 IP利用這項漏洞大量配對電話號碼,雖然Twitter緊急修復了漏洞,但已經有許多用戶的個資外洩。
Twitter認為,這些IP可能有部分是出自具有國家背景的駭客之手。因為在伊朗明明無法使用Twitter,卻有大量來自伊朗的IP可以自由連上Twitter並針對漏洞進行攻擊,顯然是受國家允許,甚至有可能是受國家操控所為。
國外科技網站《TechCrunch》報導,安全研究人員Ibrahim Balic也測試過這項漏洞,結果成功地配對1700萬個電話號碼與帳戶,甚至找到一位以色列高級政治家。Ibrahim Balic認為,如果是擁有國家背景、有規模的駭客組織,被竊取的資料可能會更多。
根據Twitter說法,這項功能僅對擁有嚴格隱私規則的歐盟用戶預設成關閉,其他全球用戶都預設成開啟。換言之,這項漏洞對非歐盟的用戶危害最大。
Twitter強調已經更改了這項功能,不會再根據電話號碼顯示特定的帳戶名。但也不會通知受影響的用戶,因為無法確認哪些帳號被配對成功。