光速打脸？Twitter刚声明安全漏洞已被修复 黑客就又给他们演示了一遍

Twitter声称已经解决了一个漏洞，该漏洞允许伦敦的一组安全研究人员用英国名人和记者的账户发布未经授权的推文。

但最初披露该漏洞的黑客表示，这完全是一派胡言。

Twitter的一名发言人上周五对记者表示，该公司已“解决了一个漏洞，该漏洞允许某些拥有连通的英国电话号码的账户成为短信欺骗的目标。”

但在与Gizmodo的对话中，在Twitter发表声明后，向名人账户发布未经授权的推文的黑客似乎重现了这一实验。

英国《卫报》(The Guardian)当天早些时候曾报道，这个漏洞已经得到了解决，提到的声明与提供给Gizmodo的声明相同。

在被要求作出解释时，Twitter只表示，它仍在调查此事，以确保其“账户安全协议按预期运行”。

据报道，劫持测试引起了争议，因为账户持有人虽然得到了通知，但并不同意由一个名为Insinia Security的组织进行的实验。

该组织表示，其动机是通过高调、有名气的账户证明该漏洞的存在，以引起人们对该问题的关注。

从本质上说，这一缺陷允许任何人用某些支持SMS(短消息服务)的帐户发布推文，但尚不清楚有多少帐户可能受到攻击。

Twitter发言人补充称:“我们认为，美国用户不会面临任何重大风险。”

被研究人员劫持的账户中有来自北爱尔兰广播公司Eamonn Holmes和英国纪录片制片人Louis Theroux的账户。

“如果我们能从你的号码上发短信，那么我们就能与你的Twitter账户互动，并完全控制它。”

使用的方法包括向Twitter发送包含命令的短信，同时欺骗用户的电话号码。

许多用户都不知道，只要用户知道将命令发送到哪里，Twitter账户就可以通过文本消息接收命令。

使用的电话号码因国而异，有两种形式:长码(看起来像普通电话号码)和短码(通常是3到5位数字)。

也就是说，分配给Insinia测试的英国的长码是+447624800379。

美国用户的短码是40404。

并非每个国家都有短码。

在2012年修改之前，任何国家的任何人都可以使用长码，即使它的前缀包含外国拨号代码(也称为“国家代码”)。

网上有很多应用程序可以用来“欺骗”一个电话号码，尽管这样做可能是非法的，未经同意。

欺骗一个号码可以让某人发送信息或拨打看似来自另一个人的电话。

在发现不同名人使用哪些电话号码来控制他们的Twitter账户后，黑客似乎能够欺骗这些号码，并使用Twitter的一个长码发送命令。

然而，在与Gizmodo的一次私人聊天中，黑客似乎重复了他们的实验，迫使一家伦敦金融科技公司负责人的一个账户转发了BBC的一条推文。

Insinia表示，它通过“多个账户”证实了这一缺陷。

本文来源前瞻网，转载请注明来源。本文内容仅代表作者个人观点，本站只提供参考并不构成任何投资及应用建议。（若存在内容、版权或其它问题，请联系：service@qianzhan.com）