标签: Twitter

Twitter 因违反数据保护条例被欧盟罚款 55 万美元

据报道,爱尔兰数据保护委员会(DPC)今日对Twitter处以45万欧元(约合54.7万美元)的罚款,原因是Twitter未能按照欧洲数据隐私法规《通用数据保护条例》(GDPR)的规定,及时公布并妥善记录一起数据泄露事件。 分析人士称,这一罚款决定备受关注,因为这是DPC首次依据GDPR做出的跨境罚款决定。爱尔兰DPC是谷歌和苹果等多家大型科技公司在欧盟的监管机构,目前正在调查20多起案件,涉及到Facebook、WhatsApp、谷歌、苹果和LinkedIn等公司。 此次DPC对Twitter的调查始于2019年1月,调查发现,Twitter违反了GDPR第33(1)条和第33(5)条之规定,没有及时向DPC通知违规行为,也没有充分记录违规行为。为此,DPC对Twitter处以45万欧元的行政罚款。 DPC去年1月底曾宣布,正在对Twitter的数据泄露事件发起调查。在此之前,DPC接到Twitter的通知,称发生了数据泄露事件。 GDPR规定,大多数违反个人数据的行为,必须在管制员察觉到违规行为后72小时内,通知给有关监管机构。此外,该规定还要求服务提供商记录涉及哪些数据,以及他们是如何应对安全事件的,以便相关数据主管可以检查其合规性。 而对于本事件,Twitter同时违反了上述两条规定。根据GDPR规定,违反隐私法可能会被处以最高达全球营收4%或2000万欧元的处罚,具体以数额更高者为准。 值得一提的是,受DPC调查的影响,Twitter也从中吸取了教训。今年7月,在遭遇公司历史上最严重的安全破坏事件数日后,Twitter主动向DPC报备该事件。 DPC此时宣布对Twitter的罚款决定,也正值一个关键期,即欧盟稍晚些时候将推出两部新的法规,《数字服务法案》(Digital Services Act)和《数字市场法案》(Digital Markets Act),以急速区域数字化。 上周,法国数据保护机构“国家信息与自由委员会”(CNIL)曾宣布,对谷歌处以1亿欧元(约合1.21亿美元)的罚款,原因是其搜索引擎对Cookie的管理方式不当。此外,CNI还对亚马逊处以3500万欧元的罚款,原因是未经用户同意在他们的电脑上放置了Cookie。         (消息及封面来源:新浪科技)

​荷兰警方接受安全研究人员称曾“入侵”特朗普 Twitter 账号的说法

据英国广播公司(BBC)报道,荷兰检察官发现,一名黑客确实通过猜测美国唐纳德·特朗普的密码–“MAGA2020!”,成功登录了他的Twitter账号。但荷兰检察官表示不会惩罚黑客Victor Gevers,因他的行为是“道德”的。 Gevers在10月22日美国总统大选的最后阶段分享了他所说的特朗普先生账户内部的截图。但当时,白宫否认特朗普的Twitter账号被黑客攻击,而Twitter也表示没有证据。 在提到最新进展时,Twitter表示:“我们没有看到任何证据来证实这一说法,包括从今天荷兰发表的文章中。我们主动对美国指定的一批高知名度、与选举相关的Twitter账号实施了账号安全措施,其中包括联邦政府部门。” 白宫没有回应进一步评论的请求。 Gevers则表示,他对这个结果非常满意。他说:“这不仅仅是关于我的工作,而是关于所有寻找互联网漏洞的志愿者。”这位受人尊敬的网络安全研究人员说,他在10月16日对美国大选高知名度候选人的Twitter账号进行了安全测试,当时他猜中了特朗普总统的密码。 荷兰警方表示:“黑客自己发布了登录名。他后来向警方表示,他调查了密码的强度,因为如果这个Twitter账号能在总统大选前这么短的时间内被接管,涉及到重大利益。”他们补充说,他们已将调查结果发给美国当局。 Gevers曾告诉官员,他拥有实质上更多的“入侵”证据。理论上,他本来可以看到总统的所有数据,包括: 私人照片和信息 私人收藏的推文 他屏蔽了多少人 这位拥有8900万粉丝的总统账户现在是安全的。但Twitter拒绝回答BBC新闻的直接问题,包括该账户是否有额外的安全或日志,会显示未知的登录。 今年早些时候,Gevers还声称,他和其他安全研究人员在2016年使用一个密码–“yourefired”–登录了特朗普的Twitter账户,该密码在之前的数据泄露事件中与他的另一个社交网络账户相连。       (消息及封面来源:cnBeta)

FTC 对多家大型科技公司展开大范围安全调查

据外媒Axios了解,美国联邦贸易委员会(FTC)将于当地时间周一宣布,将对包括亚马逊、TikTok所有者字节跳动、Twitter、YouTube和Facebook以及其子公司WhatsApp在内的大型科技公司的隐私和数据收集行为展开新的调查。 此举正值该行业受到更广泛的审查之际,它似乎是一项广泛的调查,目的是调查大型科技公司对用户的所有了解以及它们如何利用这些数据和它们更广泛的商业计划。 FTC要求从上述平台获取大量信息和文件,另外Discord、Reddit和Snap也都在调查范围内。 据悉,该机构需要这些平台收集的用户使用和参与数据以及它们用来衡量这些事情的指标、短期和长期的商业策略和其他许多领域的调查。 据了解,FTC启动这项研究则是在利用其职权展开广泛的研究,并没有具体的执法目的。 根据Axios看到的一份新闻稿,在这项研究中,该委员会特别想要调查技术的隐私和数据实践如何影响儿童和青少年。共和党委员Christine Wilson早在去年秋天就已经推动了这样一项研究。 该机构的五名委员以4比1的投票结果通过了这项调查,共和党委员Noah Phillips表示反对,其称这一调查的范围太大。         (消息及封面来源:cnBeta)

Twitter 现已支持启用了硬件安全密钥的账户在移动设备上登陆

早在 2018 年,这家社交媒体巨头就已经提供了对于硬件安全密钥的支持,以代替另外两种双因素身份认证选项(短信 / 验证器 App)。尽管硬件密钥小巧得可以轻松挂在钥匙圈上,但仅限于 Web 登录的功能,也给移动设备用户造成了巨大的不便。好消息是,Twitter 周三表示,基于硬件安全密钥保护的账户,现在也可从 iPhone / Android 设备上登录。 硬件双因素认证需要用户在登录时插入密钥,即便被攻击者知晓了用户名和密码,这套方案也能够努力避免账户被黑客入侵。 然而此前的技术限制,意味着这类账户使用者只能从计算机端登录,而无法使用更加便捷的移动设备。 当时一些苦恼的 Twitter 用户,更是直接发推吐槽官方,甚至迫使许多人都默认关闭了登录验证。 去年的时候,Twitter 通过切换至 WebAuthn 协议解决了部分让人感到头疼的麻烦,同时也为将硬件保护方案引入更多设备和浏览器而铺平了道路。 现在,只需支持硬件密钥,任何在 Twitter 账户安全设置中启用了该功能的用户,都可以顺利地在移动设备端登录。 值得一提的是,除了 YubiKeys、Google Titan 等可在不同设备上工作的安全密钥,Twitter 还在今年早些时候向自家员工推出了硬件安全密钥,以防再次遭遇 7 月份的网络攻击事件。 当时黑客侵入了 Twitter 内网,滥用“管理员”工具劫持了多个高知名度的账户,然后大肆用于加密货币骗局的传播。 事件发生后,Twitter 聘请了 Rinki Sethi 接替首席信息安全官,并招募了知名黑客 Peiter“Mudge”Zatko 作为企业安全负责人。       (消息来源:cnBeta;封面来自网络)

Twitter 任命著名黑客“Mudge”为安全主管

据路透社消息,在监管威胁加剧和严重安全漏洞的困扰下,社交媒体巨头Twitter正在任命世界上最知名的黑客之一来解决从工程失误到错误信息的一切问题。该公司周一任命Peiter Zatko(因其黑客账号Mudge而广为人知)担任新的安全主管一职,赋予他广泛的授权,对结构和做法提出改革建议。Zatko向Twitter首席执行官杰克·多西负责,预计在经过45到60天的审查后,他将接管关键安全职能的管理。 Zatko在接受专访时表示,他将审查 “信息安全、网站完整性、物理安全、平台完整性–开始触及平台的滥用和操纵–以及工程”。 Zatko最近在电子支付独角兽Stripe负责安全工作。在此之前,他曾在谷歌从事特殊项目的工作,并在五角大楼著名的国防高级研究与计划局(DARPA)监督发放网络安全项目的拨款。Zatko多姿多彩的职业生涯始于20世纪90年代,当时他同时为一家政府承包商进行机密工作,并且是Cult of the Dead Cow(一个因发布Windows黑客工具而臭名昭著的黑客组织)的领导人之一,以激励微软改善安全状况。 “我不知道是否有人能解决Twitter的安全问题,但他会是我的首选。”Dan Kaufman说,他曾在DARPA监督Zatko,现在是谷歌高级产品组的负责人。 Twitter面临众多安全挑战。一年前,美国政府指控两名男子多年前在Twitter工作时为沙特从事间谍活动,称他们传递了有关沙特王国批评者的私人信息。 7月,一群年轻的黑客欺骗了员工,并赢得了对内部工具的访问权,这让他们改变了账户设置,然后从当时的总统候选人乔·拜登,微软创始人比尔·盖茨和特斯拉首席执行官埃隆·马斯克的账户中发推文。 “今年夏天的数据泄露事件是一个重要的提醒,提醒人们在建立一些必要的基本安全功能方面,Twitter需要走多远,以运行一个被对手瞄准的服务,比因该事件被捕的青少年更熟练,”前Facebook首席安全官、现任斯坦福大学研究员Alex Stamos说,他曾帮助领导打击选举虚假信息的努力。 曾经在Zatko的安全咨询公司工作过的Stamos称,对于一家缺乏Facebook和谷歌财力的公司来说,他是一个非常合适的人选。“他们将不得不为这些问题找到创造性的解决方案,如果说Mudge在安全领域有什么出名的地方,那就是有创造性。” Zatko表示,他致力于改善Twitter上的公共对话。他称赞了最近的一项举措,即通过提示用户发表评论而不是简单的转发来增加“摩擦力”;他说,下一步可能是强迫人们在参与长对话之前理解对话内容。 Zatko说,他赞赏Twitter对非常规安全方法的开放态度,比如他提出的通过操纵从Twitter收到的关于人们如何与他们的帖子进行互动的数据来迷惑坏人。“他们愿意承担一些风险,”Zatko谈到他的新雇主时说。“在算法和算法偏差的挑战下,他们不会袖手旁观,等待别人解决这个问题。”       (消息及封面来源:cnBeta)

Twitter 和白宫否认安全研究人员入侵特朗普账户的报道

据外媒The Verge报道,一名安全研究人员声称,他在本月早些时候入侵了美国总统唐纳德·特朗普的Twitter账户,猜测他的密码是 “maga2020!”,并可能发布了一条推文。荷兰《大众日报》(de Volkskrant)和《自由荷兰》(Vrij Nederland)杂志周四早些时候报道了这一消息,并引用了截图和对研究人员Victor Gevers的采访。 但Twitter和白宫都极力否认了这一说法。“我们没有看到任何证据来证实这一说法,包括从今天在荷兰发表的文章中,”Twitter发言人告诉The Verge。“我们主动对美国指定的一批知名度高、与选举相关的Twitter账户实施了账户安全措施,其中包括联邦政府部门。” 白宫副新闻秘书贾德·迪尔也否认了这一报道。“这绝对不是真的,”他告诉The Verge,“但我们不评论围绕总统社交媒体账户的安全程序。” GEVERS此前声称自己在2016年入侵了特朗普的账户。 《自由荷兰》杂志上个月报道称,Gevers和另外两名黑客在2016年10月成功入侵了特朗普的Twitter账户。根据其新报告,Gevers决定在2020年通过输入旧密码来进行新的安全测试。这个密码(“yourefired”)没有成功,但Gevers发现特朗普没有启用双因素认证–对于一个极其重要的账户来说,这是一个显著的弱点。他猜中了其他一些密码,在另外五次尝试后获得了访问权限。 Twitter没有说明到底对特朗普的账户实施了哪些安全措施。该公司在9月份几个备受瞩目的账户被入侵后,开始要求使用强密码,并认真鼓励双因素安全,但理论上有可能是特朗普竞选团队禁用了这项额外措施。 《自由荷兰》还报道称,特朗普在10月16日发出的一条奇怪的推文是由Gevers负责的。这条推文引用了讽刺刊物《The Babylon Bee 》的内容。Gevers显然不愿向《自由荷兰》证实这一点,但他表示,如果他证实了这一点,那么 “特朗普需要承认自己从来没有读过《The Babylon Bee 》的文章并发布了这条推文,或者他需要承认是别人发布了这条推文。” 特朗普在本周早些时候的一次演讲中声称,“没有人被黑客攻击。黑客入侵需要一个智商197的人,而他需要你密码的15%。”。特朗普此前曾承认,2013年有黑客入侵了他的Twitter账号。 Gevers是一位受人尊敬的安全专家,同时也是非营利组织GDI基金会的联合创始人。他表示,他曾多次尝试就该漏洞与特朗普联系。 《大众日报》报道称,根据记者看到的信件,美国特勤局联系到了Gevers,并 “认真对待了这份报告”。美国特勤局发言人拒绝对这一说法发表评论。在给The Verge的直接信息中,Gevers表示,他还多次尝试联系Twitter,但 “运气不佳”。 Gevers没有确认他是否发送了有关《The Babylon Bee 》的推文。但他表示,尽管获得了对特朗普账户的访问权限,但他并没有对其进行修改。“这是不道德的,做的太过火了。这不属于负责任的披露/协调漏洞披露的范围,”他说。“或者,用简单的英语来说,就是一个社会上不可接受的举动。”     (稿源:cnbeta ;封面来自网络)

Twitter 确认遭遇宕机事故 但没有证据表明存在攻击或安全漏洞

据外媒报道,日前,许多Twitter用户突然无法访问该服务平台。虽然老Twitter用户还记得这个社交媒体网站的“fail whale(故障的鲸鱼)”经常出现的时候,但现阶段它通常是稳定的,最近一次重大问题则是因7月份的安全漏洞而出现过。 现在Twitter的API状态页面报告指出,该公司正在“调查Twitter API的违规行为”,而据中断跟踪器Down Detector称,在美国东部时间下午5点35分左右,feed似乎已经变暗。 跟往常一样,当Twitter宕机时,首要的问题是,当平台宕机时用户可以去哪里讨论? 在Twitter开发者论坛上,工作人员Jessica Garson表示:“感谢您的联系,我们目前已经意识到这个问题,我们正在努力尽快解决这个问题。有几个端点似乎已经回来了。” 在一份声明中,一位发言人表示:“我们知道人们在使用Twitter和发推文上遇到了麻烦。我们正在努力尽快解决这个问题。我们会分享更多,可以的时候会通过@TwitterSupport发布,敬请期待。” Twitter的官方状态页面也被更新以反映这一事件,另外它还特别指出:“我们没有证据表明这次中断是由安全漏洞或黑客造成的。我们目前正在调查内部原因并将很快会公布更多。” 我们还没有收到官方的更新,但至少对一些用户来说,这项服务已经开始工作了。已经恢复正常的推特账号@TwitterSupport更新了推文,称“很多人的Twitter已经瘫痪了,我们正在努力让它恢复正常运行。我们的内部系统出现了一些问题,目前没有任何证据表明存在安全漏洞或黑客行为。”       (稿源:cnbeta;封面来自网络)

继引发大风波后 Twitter 宣布调整针对分享黑客内容行为的政策

据外媒报道,当地时间周四晚,Twitter宣布了一项有关发布通过黑客获取内容的修改后政策。而就在一天前,该社交媒体公司因限制《纽约邮报》一篇有关乔·拜登儿子的文章的链接而受到批评,据悉,这文章获取源头来自黑客的网络攻击。 Twitter表示,他们将不再删除含有被黑客攻击内容的帖子,除非这些帖子是由黑客自己或其他跟他们有合作的人分享出来的。该公司表示,它还将为这些推文贴上标签,这样内容仍旧会在平台上显示而不是遭到阻止。 Twitter首席法律官Vijaya Gadde在周四晚的一系列推文中表示,这些改变是为了“解决人们的担忧,即可能会给记者、告密者和其他人带来许多意想不到的后果,而这些后果跟Twitter服务于公众对话的宗旨背道而驰。” 这项新政策对Twitter来说是一个巨大转变。 不过Twitter指出,《纽约邮报》的文章中包含了含有电子邮件地址和电话号码等个人和私人信息的图片,这违反了该社交网络的规定。     (稿源:cnBeta,封面源自网络。)

Twitter 计划更改平台上有关黑客破解内容的政策

据报道,Twitter计划更改平台上有关黑客破解内容的政策。此前,Twitter删除了《纽约邮报》一篇关于民主党总统候选人乔·拜登之子的报道链接。这一决定引来广泛争议。Twitter当时表示,该报道违反了平台上针对黑客破解内容的政策。 Twitter称,其已经屏蔽了指向该报道的链接,因为报道中包含的一些图片为带有个人和私人信息的黑客破解内容。 根据Twitter的法务、政策和信任及安全负责人维哈雅·贾德(Vijaya Gadde)的说法,在收到“大量反馈”后,Twitter决定调整其关于黑客破解内容的政策。 修改有两点。首先,Twitter不会删除黑客破解内容,除非该内容由黑客或与之合作之人直接分享。其次,Twitter将标记相关帖子提供背景信息,而不是直接屏蔽平台上分享的链接。贾德表示,其他Twitter条款仍将适用。比如,如果内容中的图片包含破解得到的电子邮件和电话号码等信息,该内容仍会被删除。 贾德还表示,新的针对黑客破解内容的政策将在未来数天内更新。     (稿源:cnBeta,封面源自网络。)

推特向开发者警示:私有应用密钥和账号令牌有暴露风险

近日推特向开发者发布电子邮件,警告称由于 BUG 他们的私有应用密钥和账号令牌可能已经被暴露。在这份邮件中,推特表示这些私钥和令牌可能被错误地存储在浏览器的缓存中。 在电子邮件中写道:“在修复之前,如果您使用公共或共享计算机在developer.twitter.com上查看您的开发者应用程序密钥和令牌,它们可能已经暂时存储在该计算机上的浏览器缓存中。如果在那个临时时间段内,在你之后使用同一台电脑的人知道如何访问浏览器的缓存,并且知道该寻找什么,那么他们有可能访问了你查看的密钥和令牌”。 在邮件中,推特表示在某些情况下开发者自己的推特账号凭证也可能会被曝光。和密码一样,这些私钥、令牌可以被认为是一种通行密码,因为它们可以代表开发者与 Twitter 进行交互。访问令牌也是高度敏感的,因为如果被盗,它们可以让攻击者在不需要密码的情况下访问用户的账户。 Twitter表示,目前还没有看到任何证据表明这些密钥被泄露,但出于谨慎的考虑,还是提醒了开发者。邮件中说,可能使用过共享电脑的用户应该重新生成他们的应用密钥和令牌。目前还不知道有多少开发者受到该漏洞的影响,也不知道该漏洞具体何时被修复。Twitter发言人不愿意提供这方面的信息。     (稿源:cnBeta,封面源自网络。)