Balic发现的漏洞与推特上周的另一个漏洞(图)

一般来说，通讯录上传功能不接受连续的电话号码，比如1001、1002、1003。但Balic发现，“如果用户上传电话号码，系统会向用户反馈一些数据” 也就是说，这个原本用来防止用户配对号码的限制将失效。

Balic 按顺序生成了 20 亿个随机电话号码，然后使用应用程序将它们上传到，因为 iOS 似乎无法幸免。经过两个月的尝试，他最终从以色列、伊朗、土耳其、亚美尼亚、法国、德国和希腊的一长串匹配电话号码中找到了用户名。成功使用的密码重置功能证实了这一发现。

目前没有证据表明 Balic 发现的漏洞与上周的另一起漏洞有关。上周的漏洞可能允许犯罪分子查看用户的非公开帐户信息推特账号密码，甚至直接控制用户的帐户，”可能会暴露用户的对话消息、位置信息和受保护的推文。

有趣的是，Balic 并没有向官方报告这个漏洞推特账号密码，而是决定用政治家和名人的知名账户的电话号码创建一个群组，直接警告这些人。

“我们非常重视这些报告，并正在积极调查以确保这个漏洞不会再次被利用。当我们意识到这个漏洞时，我们关闭了非法访问他人信息的账户，”该网站的一位发言人说。公司。之后，推特正式删除了巴利奇的推特账号。

目前，推特还没有发布更新来防范这个漏洞。