【翻牆問答】黑客濫用社媒API獲取用戶個資 更改綁定號碼以策安全

2020-02-14
電郵
評論
Share
打印
2017年1月26日,大陸網站透過機器人在推特上發放「假推」。(美聯社)
2017年1月26日,大陸網站透過機器人在推特上發放「假推」。(美聯社)

問:推特(Twitter)公司最近公布,有人利用馬來西亞、以色列以及伊朗的IP,濫用推特API一些特定功能,來配對推特使用者的帳號以及電話號碼,意圖查出個別推特帳戶持有人身份。推特公司特別指出,這次濫用行為背後可能是有個別國家政府支持。為何推特公司有這個推論?

李建軍:推特公司推論這次入侵行動,有個別國家支持,並非無的放矢。因為過往就曾觀察到香港警察濫用Telegram的API,藉輸入大量香港手機號碼來尋找部分Telegram帳戶擁有人真實身份,被Telegram方面發現後取消了相關功能。黑客這次在推特上採取的手法,與香港警察所用手法類似,而且伊朗和馬來西亞均是與中國關係十分之友好的國家,而伊朗與以色列又是中國黑客熱門租用主機的國家,加上中國有濫用API的前科,因此懷疑這次濫用Twitter API的,應是中國政府或香港警察,其行動主要目的應是調查部分發布敏感資訊推特帳戶背後的實際主人,然後派公安等人員加以恐嚇和滋擾。

問:那推特用戶如何保障個人隱私?用不用立即更改資料以策安全?

李建軍:推特公司在發現漏洞後已經改變了API政策,關閉有關功能,亦對相關黑客IP和帳戶使用推特API停權,因此短期內,推特用戶並不需要採取特別行動去保障自己。但如果你的推特賬戶原本與中國手機號綁定,應考慮放棄這一做法,改為購買香港無登記預付卡,甚至海外其他國家手機號碼,以策安全。因為中國手機號使用實名制,你將推特或Telegram戶口與中國手機連上實際上存在洩密風險,一旦當局獲得你的推特或Telegram賬戶,你的手機以致個資將被中國政府掌握。避免將自己的社交網絡帳戶與已經實名制的手機號碼相連,這幾乎是每一位在中國翻牆的人,都應該具備的常識。香港的無登記身份預付卡,至今仍然有一定的價值,其中一個原因是它可以提供一定的私隱保障。

問:假如黑客一再透過輸入大量電話號碼資料,意圖獲取部分人Telegram或推特戶口,這種做法會對其他普通用戶的日常生活造成甚麼影響?

李建軍:本來推特和Telegram API的相關功能,目的是方便一般人可以利用手機電話簿內資料,自動配對找到認識的人的推特或Telegram賬戶,但當有黑客濫用相關功能後,很多推特或Telegram客戶軟件都限制了有關功能,對大部分用戶都帶來某程度上的不便。

而除了推特和Telegram以外,其他許多社交、通訊軟件,譬如Facebook、Whatsapp、Signal等,都有相似的API功能。只要黑客持續濫用這種API功能,相信會令其他軟件公司被迫作出跟進,進而擴大對用戶造成的不便。

黑客此舉的另一個弊端在於,當他們長時間而且大規模地利用API達到他們的尋人目的,亦會拖慢整個社交網絡系統,因為這類查詢十分之密集,而且耗費資料庫的運算時間。正常情況下,一般用戶手機內只有幾百、最多上千聯絡人,此時以API搜尋相熟用戶並不會構成太大負擔。但這次黑客濫用API的行為足以能夠引發推特的警覺,說明其行為有可能涉及數目達到以百萬或千萬計的查詢,那麼必然對受攻網絡系統速度帶來影響。

現時,大部分主機或軟件的API,面對過量的查詢,都會作出封鎖,或要求對方先交付昂貴的費用。

Edge及Safari用戶可直接點擊收聽
其他瀏覽器用戶請點此下載播放插件

完整网站