[图]推特官方报告：支持表单可能曝光账号绑定手机的所在国家/地区

推特在披露的报告中表示：“我们已经意识到与我们一个支持表格相关的问题，账户持有人通过填写该表格向推特报告关于他们账户的各种问题。如果他们的推特账号和手机绑定，那么通过这种方式就能发现该手机的国家代码，以及他们的账号是否被推特锁定。”

Peerzada Fawaz Ahmad Qureshi曾通过HackerOne（推特的BUG报告项目）报告这个问题，希望能够推特修复这个问题并获得赏金。但最终推特方面认为这个问题是“信息性”的，并且并未采取任何行动。在得知推特在本周一披露了该BUG之后，外媒TechCrunch就此事采访了Qureshi，他分享了他的错误报告，并描述了如何通过识别国家代码来确认该手机是否有绑定推特账号以及该手机号码的注册地。

该错误报告详细说明了任何人都可以通过网站的密码重置过程，输入任何人的帐户获取电话号码的国家/地区代码。通过选择“我无权访问”与帐户关联的电子邮件地址，表单将更改并允许用户输入电话号码。但是，当加载该页面时，它会默认自动选择帐户持有者的国家/地区代码。

虽然只有国家代码被泄露，但有人说这足以确定账户持有人居住在哪个国家 – 这在言论和表达自由受到限制的地区可能是危险的。目前尚不清楚该表单是如何被滥用以允许大量抓取特定帐户的国家/地区代码。一位Twitter发言人表示，这个漏洞是由一个只支持webform的API引起的，并且不是开发人员API。

本文素材来自互联网