研究員利用 Twitter 一應用漏洞將 1700 萬個電話號碼跟使用者賬號配對起來

據外媒報導，一名安全研究員日前表示，他通過利用 Twitter Android 應用中的一個漏洞將 1700 萬個電話號碼跟 Twitter 使用者的賬號戶匹配了起來。這位名叫 Ibrahim Balic 的研究人員發現可以通過 Twitter 的聯絡人上傳功能上傳生成的完整的電話號碼列表。換言之，如果使用者在 Twitter 上上傳了自己的電話號碼那麼平臺就會獲取使用者資料。

Balic 指出，Twitter 的聯絡人上傳功能不接受連續格式的電話號碼列表，這可能就是為了阻止上面的這種匹配。然而，Balic 生成了 20 多億個電話號碼，一個接一個，然後隨機分配這些號碼並通過 Android 應用將它們上傳到 Twitter上。Balic 指出，基於 web 的上傳功能中不存在這個漏洞。

Balic 稱，在兩個多月的時間裡，他匹配了來自以色列、土耳其、伊朗、希臘、亞美尼亞、法國和德國的使用者記錄，但在 Twitter 於 12 月 20 日對這一漏洞做出反應之後他停止了這種行為。儘管他沒有提醒 Twitter 注意這一漏洞，但他將許多知名 Twitter 使用者（包括政界人士和官員）的電話號碼轉至 WhatsApp 群組中以便直接警告使用者。

對此，Twitter 方面表示，他們正在努力確保不讓這個漏洞再次遭到利用。“在得知這個漏洞後，我們暫停了那些非法獲取個人資訊的賬號。保護 Twitter 使用者的隱私和安全是我們的首要任務，我們仍致力於快速阻止垃圾郵件和來自 Twitter API 的濫用。”

據悉，Balic 此前因在 2013 年發現影響蘋果開發中心的安全漏洞而出名。

來源：cnBeta.COM

更多資訊

騰訊刀鋒安全團隊發現嚴重 SQLite 漏洞 收到谷歌蘋果致謝

近日騰訊刀鋒（Tencent Blade）安全團隊發現了一組名為“Magellan 2.0”的 SQLite 漏洞，允許黑客在 Chrome 瀏覽器上遠端執行各種惡意程式。這組漏洞共有 5 個，編號分別為 CVE-2019-13734、CVE-2019-13750、CVE-2019-13751、CVE-2019- 13752 和 CVE-2019-13753，所有使用 SQLite 資料庫的應用均會受到 Magellan 2.0 攻擊影響。

來源：cnBeta.COM
詳情連結： https://www.dbsec.cn/blog/article/5626.html

微軟調整 Windows 10 升級策略：安裝驅動和非安全更新更輕鬆了

Windows 10 Version 2004 功能更新即將於 2020 年春季時候釋出，對系統非安全更新以及驅動更新將會引入全新的升級方式。在日前釋出的 Build 19536 版本更新中，微軟已經官宣正在研究更簡便的方法，來安裝驅動程式和每月非安全質量更新。

來源：cnBeta.COM
詳情連結： https://www.dbsec.cn/blog/article/5627.html

過去 10 年因資料洩露被處以鉅額罰款的前五名

多家公司在 2019 年對資料洩露處以鉅額罰款，這表明監管機構對不能適當保護消費者資料的組織的容忍度越來越低。在英國，英國航空公司遭受了創紀錄的 2.3 億美元罰款，緊隨其後的是對萬豪的 1.24 億美元罰款。在美國，Equifax 同意為其 2017 年違規行為支付至少 5.75 億美元。

來源：Linux公社
詳情連結： https://www.dbsec.cn/blog/article/5628.html 

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視