一位安全研究人員利用Twitter公司（T witterInc.）Android應用程序的一個缺陷，在最新的涉及微博服務的隱私漏洞中，將1700萬個電話號碼與用戶賬戶相匹配。

今天由TechCrunch首次報道，并由漏洞研究人員IbrahimBalic發現，該漏洞利用了Twitter中的一個功能，該功能允許用戶上傳聯系人，然后將它們與Twitter用戶匹配。

為了避免被Twitter拒絕，Balic在兩個月的時間里使用了約20億個訂單混合的電話號碼，與Twitter用戶的1700萬個電話號碼相匹配。用戶分布在以色列、土耳其、伊朗、希臘、亞美尼亞、法國和德國。

雖然與Twitter賬戶匹配電話號碼似乎一開始并不是一個嚴重的問題，但Balic使用該電話號碼與Twitter賬戶匹配，以識別政治家和官員的私人電話號碼。

Balic沒有通知Twitter，但確實直接警告了一些用戶。12月20日，Twitter發布了Android應用程序的安全警告。

然而，這一警告描述了Twitter Android應用程序的一個缺陷，即“可以允許壞演員查看非公共帳戶信息或控制您的帳戶”，使用“一個復雜的過程，包括將惡意代碼插入Twitter應用程序的限制存儲區域”。Balic的過程不涉及惡意代碼或其他形式的黑客攻擊，而是簡單地使用現有的Twitter功能。

推特（Twitter）對這份報告做出回應，告訴恩加德特（Engadget），它“認真對待”這樣的報告，并且正在“積極調查”，以防止這種錯誤再次被利用。

Twitter補充說：“當我們了解到這一漏洞時，我們暫停了用于不當訪問人們個人信息的賬戶。“保護使用Twitter的人的隱私和安全是我們的首要任務，我們仍然專注于迅速阻止源自使用Twitter API的垃圾郵件和濫用。

考慮到Balic唯一的罪行是利用該公司開門的服務，然后分享細節（如果不是Twitter本身的話），Twitter回應中的語氣有些令人驚訝。沒有答案的問題是，其他人，特別是那些有邪惡意圖的人，是否也可以利用這個特征。