推特修复某API滥用所导致的信息泄漏

在近日发布的一份声明中，Twitter公开了一起安全事件，有第三方利用该公司的官方API尝试将电话号码与Twitter用户名进行匹配。

在一封要求澄清该事件的电子邮件中，Twitter告诉ZDNet，他们是在2019年12月24日发现该API被利用的痕迹，此前科技新闻网站TechCrunch也报道了此事，其中详细描述了一名安全研究员滥用Twitter的某个API，将1700万个电话号码与用户名进行暴力匹配。

Twitter表示，在看到这份报告后，它立刻进行了干预，并封禁了一个用来查询Twitter API的庞大虚假帐户网络（几乎全用来将电话号码与Twitter用户名进行匹配）。

在调查报告期间，这家社交网络公司告诉ZDNet，除了TechCrunch报告的安全研究员之外，还发现了其他第三方也利用了这个API的缺陷。

Twitter没有表示这个第三方是谁，但表示其中涉及的一些IP地址与国家资助的黑客行动有关。现如今有越来越多的黑客组织在政府的资助下对他国政府机构和大型企业进行攻击。

该公司表示，于近期公布调查结果是“出于谨慎考虑”。

被滥用的API

据Twitter称，攻击者（以及研究人员）利用了一个合法的API端点，它可让允许新用户在Twitter上找到认识的人。这个API可接受用户提交电话号码，并将其与已知的Twitter帐户进行匹配。

Twitter表示，这种攻击并没有影响到所有Twitter用户，只影响了那些启用了基于电话号码匹配选项的用户。

Twitter表示：“那些没有启用相关设置或没有将自己的帐户和电话号码关联的人不会受到该漏洞的影响。”

在检测到攻击后，Twitter立即对这个端点做了大量安全修改，“现在已不会再返回特定的帐户名作为相应”。

在去年年末，Twitter还曾被曝出利用帐户电话号码进行精准广告投放。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.zdnet.com/article/twitter-says-an-attacker-used-its-api-to-match-usernames-to-phone-numbers/