Twitter 曝出隐私漏洞，部分用户位置数据被共享给广告商

Twitter 在周一下午 披露 ，在特定条件下，一个漏洞会导致用户账号的地理位置数据被共享给他们的一家合作伙伴，即便用户没有选择共享那些数据。Twitter 表示，该漏洞只影响到其 iOS 应用的部分用户，并且他们已经向这些用户告知了问题的存在。

所谓的特定条件是指，受影响的用户在 iOS 平台登录了不止一个 Twitter 账号，并且在一个账号中选择了共享自己的精确位置数据。Twitter 表示，漏洞可能导致用户同一设备其他账号的位置数据被不小心收集起来，即便用户在其他账号中并未选择共享位置数据。

由于 Twitter for iOS 中存在的漏洞，我们在无意中收集并共享了部分用户的位置数据（只涉及到邮编或城市这一级）。我们已经修复了这个漏洞，但我们希望确保用户了解关于这件事的更多来龙去脉。更多信息请点击：https://t.co/n04LNt62Sa

接着，在 Twitter 广告平台的实时竞价过程中，那些信息被共享给了 Twitter 一家未具名的合作伙伴，也就是说该合作伙伴接收到了未经授权的位置数据。Twitter 提到，那些位置数据并不 “精确”，因为数据已经经过 “模糊” 处理，只包含邮政编码或城市（误差范围达到 5 平方公里）。

Twitter 指出，这意味着，数据 “无法被用来确定您的地址或是映射出您的精确活动轨迹。”

对于那些担心自己位置被公开或遭到 人肉搜索 的人来说，Twitter 向受影响的用户打包票称，收到位置数据的合作伙伴并未掌握用户的 Twitter 用户名或账号唯一标识符。该公司表示，合作伙伴没有办法确认用户的身份；而且，合作伙伴也没有保留那些位置数据。

该公司在公告中表示：  

我们已经跟合作伙伴确认，那些位置数据没有被保留下来，并且数据只在他们的系统中保存了一会儿时间，然后依据他们的正常流程数据已被删除。

我们已经解决了这个问题，并正在努力确保它不会再次发生。此外，我们还跟受影响的用户进行了沟通，让他们知道漏洞已经得到修复。我们邀请您检查自己的隐私设置，以确保您只跟我们共享了您愿意共享的数据。

我们目前尚不清楚这个位置数据共享漏洞是在何时开始的，或是已经持续了多长时间，因为 Twitter 并未在关于该漏洞的 贴文 中公开这些信息。此外，Twitter 也没有透露接收数据的合作伙伴是谁，或是解释这个漏洞是怎么回事。该公司只是说，他们未能删除掉那些位置数据。

Twitter 在回复我们的置评请求时表示，他们将不会披露这些信息。

Twitter 称，他们已经向受影响的用户告知了这件事，任何有疑问的人可以 填写一张表格 来联系 Twitter 的数据保护专员。由于缺乏具体细节，我们目前尚不清楚这个漏洞会在多大程度上导致 Twitter 因违反《通用数据保护条例》（GDPR）而遭到罚款。

翻译：王灿均（ @何无鱼 ）

Twitter bug disclosed some users’ location data to an unnamed partner