最近,英国伦敦的研究人员发现,社交网站存在安全漏洞,允许攻击者直接操纵名人和记者的帐户。
漏洞主要存在于Twitter的短信验证系统中。在正常情况下,用户可以通过发送特定的SMS消息来操作他们自己的帐户,例如推送。
研究人员使用一些篡改手机号码的软件来欺骗用户的主动行为,并且只需要知道绑定到特定用户的手机号码。
此漏洞基本上只影响英国用户,但损坏仍然非常大。在将漏洞提交给Twitter之后,该公司随后表示已完全修复了该漏洞。
就像推特发言人说错误已经修复一样,研究人员发出了一条消息,称Twitter根本没有修复,也就是说,系统中仍然存在漏洞。
在对技术网站的采访中,研究人员还劫持了伦敦一家金融技术公司的账户并转发了推文,确认漏洞未得到修复。
而且,基本上已经公开了漏洞的操作方法,因此随后的影响可能变得越来越大,并且越来越多的名人账户可能被劫持。
研究人员建议英国用户在Twitter完全修复漏洞之前停止使用手机号码绑定,以防止虚假邮件被攻击者攻击。