Twitter暂停了用于将电话号码与用户匹配的“大型网络”假帐户

 
Twitter今天宣布，在假期期间，它识别并关闭了“一个庞大的伪造帐户网络”，以及许多“位于许多国家/地区的伪造帐户”，共同滥用一种使电话号码与用户帐户匹配的功能。
TechCrunch之前于12月24日报道了同一问题，也就是Twitter宣布“意识到”滥用行为发生的那一天。安全研究员易卜拉欣·巴利奇(Ibrahim Balic)发现，Twitter的Android应用程序中的一个错误使他可以通过官方API提交数百万个电话号码，该API返回了任何关联的用户帐户。
我们最近发现了一个问题，该问题使不良行为者可以将特定的电话号码与Twitter上的相应帐户进行匹配。我们迅速纠正了此问题，对于这种情况，我们感到抱歉。
该功能旨在(如果已启用)让拥有您号码的朋友查找您的Twitter句柄。但是显然，提交数百万个数字“超出了预期的用例范围”。
如果您已关闭此功能，则不会受到此错误的影响。幸运的是，对于欧盟用户而言，该功能已在该国家启用。但是对于世界其他国家/地区来说，它已退出服务-因此，如果您拥有与帐户相关联的电话号码，则可能会受到影响。
此外，电话号码包括为两因素身份验证目的而提供的电话号码，因此欧盟以外的电话号码可能在没有意识到的情况下容易受到这种利用。
Twitter承认它使用两因素电话号码和电子邮件来投放目标广告
似乎在Twitter收到有关此问题的警报并关闭了原始网络(大概是Balic的网络)之后，其调查人员发现了更多利用此漏洞的帐户，尽管代表拒绝提供任何数字或估计。
该公司在安全公告中写道：“我们观察到来自伊朗，以色列和马来西亚境内各个IP地址的大量请求。”该帖子继续说：“其中一些IP地址可能与国家资助的参与者有联系。”
观察到来自伊朗IP不受限制地访问Twitter的说法是有道理的，该国该平台被禁止进行一般访问，这表明政府已介入。 Belic在与TechCrunch取得联系时说，他的工作绝不是由国家资助的。
任何涉嫌滥用此功能的帐户都将被暂停，并且API本身已经进行了修改，以防止进一步利用此类型。我已经问过公司该公司暂停了多少个帐户，如果我收到回复，将会更新此信息。
在过去的一年中，Twitter发生了许多事件，暴露或泄露了用户数据。除了与广告合作伙伴共享太多数据外，该公司还承认其使用了用于两因素身份验证的电话号码来投放目标广告。