【翻墙问答】黑客滥用社媒API获取用户个资 更改绑定号码以策安全

2020-02-14
电邮
评论
Share
打印
2017年1月26日,大陆网站透过机器人在推特上发放「假推」。(美联社)
2017年1月26日,大陆网站透过机器人在推特上发放「假推」。(美联社)

问:推特(Twitter)公司最近公布,有人利用马来西亚、以色列以及伊朗的IP,滥用推特API一些特定功能,来配对推特使用者的帐号以及电话号码,意图查出个别推特帐户持有人身份。推特公司特别指出,这次滥用行为背后可能是有个别国家政府支持。为何推特公司有这个推论?

李建军:推特公司推论这次入侵行动,有个别国家支持,并非无的放矢。因为过往就曾观察到香港警察滥用Telegram的API,藉输入大量香港手机号码来寻找部分Telegram帐户拥有人真实身份,被Telegram方面发现后取消了相关功能。黑客这次在推特上采取的手法,与香港警察所用手法类似,而且伊朗和马来西亚均是与中国关系十分之友好的国家,而伊朗与以色列又是中国黑客热门租用主机的国家,加上中国有滥用API的前科,因此怀疑这次滥用Twitter API的,应是中国政府或香港警察,其行动主要目的应是调查部分发布敏感资讯推特帐户背后的实际主人,然后派公安等人员加以恐吓和滋扰。

问:那推特用户如何保障个人隐私?用不用立即更改资料以策安全?

李建军:推特公司在发现漏洞后已经改变了API政策,关闭有关功能,亦对相关黑客IP和帐户使用推特API停权,因此短期内,推特用户并不需要采取特别行动去保障自己。但如果你的推特账户原本与中国手机号绑定,应考虑放弃这一做法,改为购买香港无登记预付卡,甚至海外其他国家手机号码,以策安全。因为中国手机号使用实名制,你将推特或Telegram户口与中国手机连上实际上存在泄密风险,一旦当局获得你的推特或Telegram账户,你的手机以致个资将被中国政府掌握。避免将自己的社交网络帐户与已经实名制的手机号码相连,这几乎是每一位在中国翻墙的人,都应该具备的常识。香港的无登记身份预付卡,至今仍然有一定的价值,其中一个原因是它可以提供一定的私隐保障。

问:假如黑客一再透过输入大量电话号码资料,意图获取部分人Telegram或推特户口,这种做法会对其他普通用户的日常生活造成甚么影响?

李建军:本来推特和Telegram API的相关功能,目的是方便一般人可以利用手机电话簿内资料,自动配对找到认识的人的推特或Telegram账户,但当有黑客滥用相关功能后,很多推特或Telegram客户软件都限制了有关功能,对大部分用户都带来某程度上的不便。

而除了推特和Telegram以外,其他许多社交、通讯软件,譬如Facebook、Whatsapp、Signal等,都有相似的API功能。只要黑客持续滥用这种API功能,相信会令其他软件公司被迫作出跟进,进而扩大对用户造成的不便。

黑客此举的另一个弊端在于,当他们长时间而且大规模地利用API达到他们的寻人目的,亦会拖慢整个社交网络系统,因为这类查询十分之密集,而且耗费资料库的运算时间。正常情况下,一般用户手机内只有几百、最多上千联络人,此时以API搜寻相熟用户并不会构成太大负担。但这次黑客滥用API的行为足以能够引发推特的警觉,说明其行为有可能涉及数目达到以百万或千万计的查询,那么必然对受攻网络系统速度带来影响。

现时,大部分主机或软件的API,面对过量的查询,都会作出封锁,或要求对方先交付昂贵的费用。

Edge及Safari用户可直接点击收听
其他浏览器用户请点此下载播放插件

完整网站