研究员利用 Twitter 一应用漏洞将 1700 万个电话号码跟用户账号配对起来，

研究员利用 Twitter 一应用漏洞将 1700 万个电话号码跟用户账号配对起来，

据外媒报道，一名安全研究员日前表示，他通过利用 Twitter Android 应用中的一个漏洞将 1700 万个电话号码跟 Twitter 用户的账号户匹配了起来。这位名叫 Ibrahim Balic 的研究人员发现可以通过 Twitter 的联系人上传功能上传生成的完整的电话号码列表。换言之，如果用户在 Twitter 上上传了自己的电话号码那么平台就会获取用户数据。

Balic 指出，Twitter 的联系人上传功能不接受连续格式的电话号码列表，这可能就是为了阻止上面的这种匹配。然而，Balic 生成了 20 多亿个电话号码，一个接一个，然后随机分配这些号码并通过 Android 应用将它们上传到 Twitter上。Balic 指出，基于 web 的上传功能中不存在这个漏洞。

Balic 称，在两个多月的时间里，他匹配了来自以色列、土耳其、伊朗、希腊、亚美尼亚、法国和德国的用户记录，但在 Twitter 于 12 月 20 日对这一漏洞做出反应之后他停止了这种行为。尽管他没有提醒 Twitter 注意这一漏洞，但他将许多知名 Twitter 用户（包括政界人士和官员）的电话号码转至 WhatsApp 群组中以便直接警告用户。

对此，Twitter 方面表示，他们正在努力确保不让这个漏洞再次遭到利用。“在得知这个漏洞后，我们暂停了那些非法获取个人信息的账号。保护 Twitter 用户的隐私和安全是我们的首要任务，我们仍致力于快速阻止垃圾邮件和来自 Twitter API 的滥用。”

据悉，Balic 此前因在 2013 年发现影响苹果开发中心的安全漏洞而出名。

来源：cnBeta.COM

更多资讯

腾讯刀锋安全团队发现严重 SQLite 漏洞 收到谷歌苹果致谢

近日腾讯刀锋（Tencent Blade）安全团队发现了一组名为“Magellan 2.0”的 SQLite 漏洞，允许黑客在 Chrome 浏览器上远程运行各种恶意程序。这组漏洞共有 5 个，编号分别为 CVE-2019-13734、CVE-2019-13750、CVE-2019-13751、CVE-2019- 13752 和 CVE-2019-13753，所有使用 SQLite 数据库的应用均会受到 Magellan 2.0 攻击影响。

来源：cnBeta.COM
详情链接： https://www.dbsec.cn/blog/article/5626.html

微软调整 Windows 10 升级策略：安装驱动和非安全更新更轻松了

Windows 10 Version 2004 功能更新即将于 2020 年春季时候发布，对系统非安全更新以及驱动更新将会引入全新的升级方式。在日前发布的 Build 19536 版本更新中，微软已经官宣正在研究更简便的方法，来安装驱动程序和每月非安全质量更新。

来源：cnBeta.COM
详情链接： https://www.dbsec.cn/blog/article/5627.html

过去 10 年因数据泄露被处以巨额罚款的前五名

多家公司在 2019 年对数据泄露处以巨额罚款，这表明监管机构对不能适当保护消费者数据的组织的容忍度越来越低。在英国，英国航空公司遭受了创纪录的 2.3 亿美元罚款，紧随其后的是对万豪的 1.24 亿美元罚款。在美国，Equifax 同意为其 2017 年违规行为支付至少 5.75 亿美元。

来源：Linux公社
详情链接： https://www.dbsec.cn/blog/article/5628.html 

（信息来源于网络，安华金和搜集整理）