百万个冷知识百万个冷知识

百万个冷知识
一起学习百万个冷知识

「图」推特官方报告:支持表单可能曝光账号绑定手机的所在国家/地区(推特确认手机号收不到验证码)

一年前一名安全可靠研究专家在Twitter的全力支持表单中辨认出两个BUG,可能将会曝出使用者帐号所存取智能联系方式的北欧国家标识符。彼时他所递交的BUG调查报告早已停用,因为这在彼时并没有显示出重大的安全可靠风险。不过现在twitter则表示那个BUG可能将早已被误用了。

twitter在公布的调查报告中则表示:“他们早已意识到与他们两个全力支持表单相关的难题,帐户拥有者透过核对该表单向twitter调查报告关于她们帐户的各种难题。如果她们的twitter帐号和智能手机存取,那么透过这种方式就能辨认出该智能手机的北欧国家标识符,和她们的帐号与否被twitter瞄准。”

Peerzada Fawaz Ahmad Qureshi曾透过HackerOne(twitter的BUG调查报告项目)调查报告那个难题,希望能够twitter复原那个问题并获得猎人。但最终twitter方面认为那个难题是“信息性”的,因此仍未采取相应行动。在获知twitter在上周四公布了该BUG之后,彭博社TechCrunch就该事件专访了Qureshi,他撷取了他的错误调查报告,并叙述了如何透过辨识北欧国家标识符来证实该智能手机与否有存取twitter帐号和该智能联系方式的注册公司。

该错误调查报告详尽说明了其他人都可以透过中文网站的公钥抹除过程,输出其他人的帐号以获取号码的北欧国家/沿海地区标识符。透过优先选择“我有权出访”与帐户关连的电子邮件地址,配置文件将更动并容许使用者输出号码。但是,当读取该网页时,它会预设手动优先选择帐号拥有者的北欧国家/沿海地区标识符。

虽然只有北欧国家标识符被外泄,但有人说这不足以确定帐户拥有者定居在别的北欧国家 - 这在言论和抒发自由受限的沿海地区可能将是脆弱的。目前尚不清楚该配置文件是怎样被误用以容许大量截取某一帐号的北欧国家/沿海地区标识符。一名Twitter发表声明则表示,那个安全漏洞是由两个只全力支持webform的API引起的,因此不是开发者API。

未经允许不得转载:百万个冷知识 » 「图」推特官方报告:支持表单可能曝光账号绑定手机的所在国家/地区(推特确认手机号收不到验证码)
分享到: 更多 (0)

热门推荐

百万个冷知识 带给你想要内容

联系我们