推特称攻击者利用其 API 匹配用户名和电话号码

推特发布声明披露了一起安全事件，称第三方利用该公司的官方 API 匹配电话号码和推特用户名。

推特在一份邮件中澄清表示，技术新闻站点 TechCrunch 报告后，该公司已经在2019年12月24日发现了针对该 API 特征的利用尝试。这份报告详细说明了一名安全研究员滥用一个推特 API 特征匹配1700万个电话号码和公开的用户名。

推特根据该报告干预并立即挂起大量用于查询其 API 并匹配电话号码和用户名的虚假账户。在调查过程中，推特表示还发现该 API 遭除该研究人员以外的其它第三方利用的更多证据。推特并未澄清这些第三方的身份，不过表示这些 API 利用尝试中使用的某些 IP 地址和受国家支持的行动者有关。该公司表示，“出于谨慎和原则上的考虑”，将于今天披露调查结果。

推特表示，这些攻击者滥用合法的 API 端点，导致新的账户持有者找到自己已知的推特人员。该 API 端点导致用户提交电话号码并匹配已知的推特账户。

推特表示这些攻击并非影响所有的推特用户，只有在设置中启用了允许根据电话号码进行匹配的选项才受影响。

推特公司表示检测到攻击后立即对该端点做出了很多修改，这样收到查询后就不再返回特定的账户名称。

https://www.zdnet.com/article/twitter-says-an-attacker-used-its-api-to-match-usernames-to-phone-numbers/    

题图：Pixabay License

转载请注明“转自奇安信代码卫士 www.codesafe.cn”。