Twitter漏洞泄露电话号码国家代码-王其杉博客|程序员|科技新闻
Twitter意外地暴露了提取账户电话号码国家代码以及账户是否被Twitter锁定的能力。这里令人担忧的是,恶意行为者可能会利用安全漏洞来弄清国家账户的来源,这可能对举报者或政治异议者产生影响。
这个问题是通过Twitter的一个支持表格联系该公司的,该公司发现通过表格进行的大量查询来自中国和沙特阿拉伯的IP地址。Twitter写道,“虽然我们不能确定这些IP地址的意图或归属,但有可能其中一些IP地址与国家赞助的行为者有联系。”我们已经要求提供更多的信息,解释为什么要这样做。在这些情况下的归属可能是模糊的,并且指定特定的国家或建议国家行为者可能参与其中具有重大影响。
Twitter于11月15日开始着手解决这个问题,并于11月16日进行了修复。Twitter告诉TechCrunch,它已经通知了欧盟数据保护专员,因为欧盟公民可能受到了影响。然而,由于国家代码不一定被认为是敏感的个人信息,泄露可能不会触发任何GDPR强制执行或罚款。Twitter告诉我们,它还向联邦贸易委员会和其他监管组织更新了有关这一问题的信息,尽管我们已经询问了何时通知这些不同的监管者。
科技巨头提供空洞的道歉,因为用户无法退出
Twitter已经直接联系了受此问题影响的用户,并说完整的电话号码没有泄露,用户不需要做任何回应。用户可以在这里联系Twitter获取更多信息。我们询问有多少账户受到影响,但Twitter告诉我们,随着调查的继续,它没有更多的数据可以共享。
Twitter的发言人指出我们之前的声明:
很明显,信息操作和协调的不真实行为不会停止。这些类型的策略比Twitter存在的时间要长得多——它们将随着全球地缘政治环境的演变和新技术的出现而适应和改变。就我们而言,我们致力于理解不诚实行为者如何使用我们的服务。我们将继续积极打击破坏Twitter完整性的邪恶企图,同时与民间社会、政府、行业同仁和研究人员合作,提高我们对干预公众对话的协调努力的集体理解。
科技公司不当的安全措施可能会对政治异议者或与政府有分歧的人造成危险。Twitter解释说,如果它怀疑自己受到黑客的危害或者违反了“Twitter规则”,就会锁定账户,其中包括“非法使用”,这在很大程度上取决于各国政府认为什么是非法的。令人担忧的是,在中国或沙特阿拉伯具有IP地址的攻击者可能已经能够利用该漏洞来确认某些帐户属于本国用户以及是否已被锁定。这些信息可以用来追捕拥有这些账户的人。
公司对此表示歉意,并写道:“我们承认并感谢您对我们寄予的信任,并致力于每天赢得这种信任。”我们对此事感到遗憾。”但这也呼应了一直听起来空洞的大型科技公司的其他道歉。在此,特别地,它未能认识到泄漏如何可能伤害到民众,以及如何防止此类事件再次发生。随着这些公司按季度根据用户增长和业务状况来评判,他们在寻求华尔街的青睐时,被鼓励在安全、隐私和社会影响上抄近路。