标签: Twitter

Twitter 和白宫否认安全研究人员入侵特朗普账户的报道

据外媒The Verge报道,一名安全研究人员声称,他在本月早些时候入侵了美国总统唐纳德·特朗普的Twitter账户,猜测他的密码是 “maga2020!”,并可能发布了一条推文。荷兰《大众日报》(de Volkskrant)和《自由荷兰》(Vrij Nederland)杂志周四早些时候报道了这一消息,并引用了截图和对研究人员Victor Gevers的采访。 但Twitter和白宫都极力否认了这一说法。“我们没有看到任何证据来证实这一说法,包括从今天在荷兰发表的文章中,”Twitter发言人告诉The Verge。“我们主动对美国指定的一批知名度高、与选举相关的Twitter账户实施了账户安全措施,其中包括联邦政府部门。” 白宫副新闻秘书贾德·迪尔也否认了这一报道。“这绝对不是真的,”他告诉The Verge,“但我们不评论围绕总统社交媒体账户的安全程序。” GEVERS此前声称自己在2016年入侵了特朗普的账户。 《自由荷兰》杂志上个月报道称,Gevers和另外两名黑客在2016年10月成功入侵了特朗普的Twitter账户。根据其新报告,Gevers决定在2020年通过输入旧密码来进行新的安全测试。这个密码(“yourefired”)没有成功,但Gevers发现特朗普没有启用双因素认证–对于一个极其重要的账户来说,这是一个显著的弱点。他猜中了其他一些密码,在另外五次尝试后获得了访问权限。 Twitter没有说明到底对特朗普的账户实施了哪些安全措施。该公司在9月份几个备受瞩目的账户被入侵后,开始要求使用强密码,并认真鼓励双因素安全,但理论上有可能是特朗普竞选团队禁用了这项额外措施。 《自由荷兰》还报道称,特朗普在10月16日发出的一条奇怪的推文是由Gevers负责的。这条推文引用了讽刺刊物《The Babylon Bee 》的内容。Gevers显然不愿向《自由荷兰》证实这一点,但他表示,如果他证实了这一点,那么 “特朗普需要承认自己从来没有读过《The Babylon Bee 》的文章并发布了这条推文,或者他需要承认是别人发布了这条推文。” 特朗普在本周早些时候的一次演讲中声称,“没有人被黑客攻击。黑客入侵需要一个智商197的人,而他需要你密码的15%。”。特朗普此前曾承认,2013年有黑客入侵了他的Twitter账号。 Gevers是一位受人尊敬的安全专家,同时也是非营利组织GDI基金会的联合创始人。他表示,他曾多次尝试就该漏洞与特朗普联系。 《大众日报》报道称,根据记者看到的信件,美国特勤局联系到了Gevers,并 “认真对待了这份报告”。美国特勤局发言人拒绝对这一说法发表评论。在给The Verge的直接信息中,Gevers表示,他还多次尝试联系Twitter,但 “运气不佳”。 Gevers没有确认他是否发送了有关《The Babylon Bee 》的推文。但他表示,尽管获得了对特朗普账户的访问权限,但他并没有对其进行修改。“这是不道德的,做的太过火了。这不属于负责任的披露/协调漏洞披露的范围,”他说。“或者,用简单的英语来说,就是一个社会上不可接受的举动。”     (稿源:cnbeta ;封面来自网络)

Twitter 确认遭遇宕机事故 但没有证据表明存在攻击或安全漏洞

据外媒报道,日前,许多Twitter用户突然无法访问该服务平台。虽然老Twitter用户还记得这个社交媒体网站的“fail whale(故障的鲸鱼)”经常出现的时候,但现阶段它通常是稳定的,最近一次重大问题则是因7月份的安全漏洞而出现过。 现在Twitter的API状态页面报告指出,该公司正在“调查Twitter API的违规行为”,而据中断跟踪器Down Detector称,在美国东部时间下午5点35分左右,feed似乎已经变暗。 跟往常一样,当Twitter宕机时,首要的问题是,当平台宕机时用户可以去哪里讨论? 在Twitter开发者论坛上,工作人员Jessica Garson表示:“感谢您的联系,我们目前已经意识到这个问题,我们正在努力尽快解决这个问题。有几个端点似乎已经回来了。” 在一份声明中,一位发言人表示:“我们知道人们在使用Twitter和发推文上遇到了麻烦。我们正在努力尽快解决这个问题。我们会分享更多,可以的时候会通过@TwitterSupport发布,敬请期待。” Twitter的官方状态页面也被更新以反映这一事件,另外它还特别指出:“我们没有证据表明这次中断是由安全漏洞或黑客造成的。我们目前正在调查内部原因并将很快会公布更多。” 我们还没有收到官方的更新,但至少对一些用户来说,这项服务已经开始工作了。已经恢复正常的推特账号@TwitterSupport更新了推文,称“很多人的Twitter已经瘫痪了,我们正在努力让它恢复正常运行。我们的内部系统出现了一些问题,目前没有任何证据表明存在安全漏洞或黑客行为。”       (稿源:cnbeta;封面来自网络)

继引发大风波后 Twitter 宣布调整针对分享黑客内容行为的政策

据外媒报道,当地时间周四晚,Twitter宣布了一项有关发布通过黑客获取内容的修改后政策。而就在一天前,该社交媒体公司因限制《纽约邮报》一篇有关乔·拜登儿子的文章的链接而受到批评,据悉,这文章获取源头来自黑客的网络攻击。 Twitter表示,他们将不再删除含有被黑客攻击内容的帖子,除非这些帖子是由黑客自己或其他跟他们有合作的人分享出来的。该公司表示,它还将为这些推文贴上标签,这样内容仍旧会在平台上显示而不是遭到阻止。 Twitter首席法律官Vijaya Gadde在周四晚的一系列推文中表示,这些改变是为了“解决人们的担忧,即可能会给记者、告密者和其他人带来许多意想不到的后果,而这些后果跟Twitter服务于公众对话的宗旨背道而驰。” 这项新政策对Twitter来说是一个巨大转变。 不过Twitter指出,《纽约邮报》的文章中包含了含有电子邮件地址和电话号码等个人和私人信息的图片,这违反了该社交网络的规定。     (稿源:cnBeta,封面源自网络。)

Twitter 计划更改平台上有关黑客破解内容的政策

据报道,Twitter计划更改平台上有关黑客破解内容的政策。此前,Twitter删除了《纽约邮报》一篇关于民主党总统候选人乔·拜登之子的报道链接。这一决定引来广泛争议。Twitter当时表示,该报道违反了平台上针对黑客破解内容的政策。 Twitter称,其已经屏蔽了指向该报道的链接,因为报道中包含的一些图片为带有个人和私人信息的黑客破解内容。 根据Twitter的法务、政策和信任及安全负责人维哈雅·贾德(Vijaya Gadde)的说法,在收到“大量反馈”后,Twitter决定调整其关于黑客破解内容的政策。 修改有两点。首先,Twitter不会删除黑客破解内容,除非该内容由黑客或与之合作之人直接分享。其次,Twitter将标记相关帖子提供背景信息,而不是直接屏蔽平台上分享的链接。贾德表示,其他Twitter条款仍将适用。比如,如果内容中的图片包含破解得到的电子邮件和电话号码等信息,该内容仍会被删除。 贾德还表示,新的针对黑客破解内容的政策将在未来数天内更新。     (稿源:cnBeta,封面源自网络。)

推特向开发者警示:私有应用密钥和账号令牌有暴露风险

近日推特向开发者发布电子邮件,警告称由于 BUG 他们的私有应用密钥和账号令牌可能已经被暴露。在这份邮件中,推特表示这些私钥和令牌可能被错误地存储在浏览器的缓存中。 在电子邮件中写道:“在修复之前,如果您使用公共或共享计算机在developer.twitter.com上查看您的开发者应用程序密钥和令牌,它们可能已经暂时存储在该计算机上的浏览器缓存中。如果在那个临时时间段内,在你之后使用同一台电脑的人知道如何访问浏览器的缓存,并且知道该寻找什么,那么他们有可能访问了你查看的密钥和令牌”。 在邮件中,推特表示在某些情况下开发者自己的推特账号凭证也可能会被曝光。和密码一样,这些私钥、令牌可以被认为是一种通行密码,因为它们可以代表开发者与 Twitter 进行交互。访问令牌也是高度敏感的,因为如果被盗,它们可以让攻击者在不需要密码的情况下访问用户的账户。 Twitter表示,目前还没有看到任何证据表明这些密钥被泄露,但出于谨慎的考虑,还是提醒了开发者。邮件中说,可能使用过共享电脑的用户应该重新生成他们的应用密钥和令牌。目前还不知道有多少开发者受到该漏洞的影响,也不知道该漏洞具体何时被修复。Twitter发言人不愿意提供这方面的信息。     (稿源:cnBeta,封面源自网络。)

印总理莫迪个人网站 Twitter 账号确认遭入侵:要求捐赠加密货币

北京时间9月3日消息,印度总理莫迪个人网站的Twitter账号在周四稍早时候遭到入侵。莫迪个人网站账号narendramodi_in发布了一系列推文,要求其粉丝通过加密货币的形式向一个救济基金进行捐赠。这些推文随后被撤下。 Twitter证实,narendramodi_in账号遭到入侵,该公司表示已知道该账号的活动,并采取措施来保障被入侵账号的安全。“我们正在积极调查这一情况。目前,我们并未发现其他账号受影响的情况。”Twitter发言人在一份邮件声明中称。 莫迪办公室尚未就narendramodi_in账号发布的推文置评。     (稿源:凤凰网科技,封面源自网络。)

推特攻击事件又一主犯落网:来自马萨诸塞州的 16 岁少年

美国联邦当局近日又锁定了一位来自马萨诸塞州的 16 岁少年,指控他在今年 7 月发生的严重攻击事件中扮演重要角色。今年 7 月,当地警方逮捕了 17 岁的格雷厄姆·克拉克(Graham Clark of Tampa)在内的三名嫌犯,指控克拉克是本次攻击的幕后主谋。 图片为17 岁的格雷厄姆·克拉克 援引纽约时报报道,联邦特工已经确定了另一位在本次推特攻击事件中扮演更重要角色的少年。这位尚未公布姓名的少年似乎在今年 5 月与克拉克一起参与了推特攻击的策划活动。 根据纽约时报报道,这名来自马萨诸塞州的 16 岁少年还可能利用 vishing(语音钓鱼)技术入侵了该社交媒体平台更为敏感的后台系统。 7月15日,这两名少年伙同其他几名嫌犯利用窃取的推特员工凭证,发起了一场大规模的比特币骗局,利用Joe Biden, Apple, Elon Musk 和 Kanye West 等知名账号进行诈骗。     (稿源:cnBeta,封面源自网络。)

Twitter 数据泄露案存分歧 欧盟或推迟对科技巨头隐私调查

在对Twitter 2019年被披露的数据泄露事件处以多少罚款的问题上,欧盟隐私监管机构——爱尔兰数据保护委员会(DPC)内部产生分歧,这可能导致该机构对美国四大科技巨头的调查也出现分歧和延迟。 此案涉及Twitter在2019年1月修复的一个安全漏洞,在此前四年多的时间里,该漏洞暴露了许多用户的私人推文。DPC在其2019年年报中表示,此案的焦点在于Twitter是否履行了及时通知用户发生黑客袭击事件的义务。 DPC周四在一份声明中披露了有关此案存在的分歧,这是对2018年生效的《通用数据保护条例》(GDPR)执法的重大考验之一。这让人担心,根据这项法律,针对Facebook、谷歌、亚马逊以及其他美国科技公司的近20多项调查可能会出现分歧和拖延。 这些调查由DPC牵头,因为上述这些公司都在爱尔兰设有地区总部,但其他26个欧盟国家的相应监管机构可以在涉及它们的案件中提出反对意见。 DPC周四表示,在未能解决对其在Twitter案件中的分歧后,该机构启动了欧盟隐私监管机构之间的争端解决机制,这是该程序首次启动。Twitter案件是个风向标,因为这是DPC第一次将决定草案转发给同行征求意见。 Twitter没有立即回复记者的置评请求。DPC拒绝评论哪些同行反对其拟议的决定,或基于什么理由,但反对意见可能与其机制和罚款金额有关。 根据GDPR规定,监管机构可以对未能在72小时内通知数据泄露事件的公司处以最高相当于其全球年收入2%的罚款,基于Twitter 2019年的收入,罚款金额可能高达6900万美元。然而,该法律指示监管机构考虑违规行为的严重性和持续时间、有争议的个人信息类型以及其他因素,例如违规行为是否是故意的。 Twitter案件的最终结果将为欧盟在监管机构之间的权力分享体系在实践中如何运作提供借鉴。根据这项法律,在涉及多个国家的案件中,主要监管机构(如DPC)会将其决定草案发送给同行。他们有四周的时间提交“相关且合理的”反对意见,还需要有额外的时间来批准基于这些反对意见的修订。 监管机构无法解决的任何分歧都可以提交给欧洲数据保护委员会,该委员会将通过投票决定。这个过程持续一个月,但可以延长到两个月,然后再延长两周。根据法律文本,一旦委员会批准了一项决定,主要监管机构需要在1个月内通知公司。     (稿源:网易科技,封面源自网络)

Twitter 涉嫌滥用数据被 FTC 调查:或面临 2.5 亿美元罚款

北京时间8月4日早间消息,美国联邦贸易委员会(Federal Trade Commission)目前正在对Twitter公司进行调查,原因是该公司使用用户上传的电话号码,以投放广告。 Twitter周一在一份监管文件中称,上周收到了来自联邦贸易委员会的投诉草案,指控该社交媒体公司违反了2011年达成的一份和解协议。根据该协议,Twitter同意采取措施,更好地保护用户的个人数据。 这家总部位于旧金山的公司在监管文件中说,这项调查可能给公司带来1.5~2.5亿美元的损失。 Twitter在文件中说:“这件事仍未解决,目前还无法确定何时解决以及如何解决。” “在我们公布第二季度财报后,我们收到了联邦贸易委员会的投诉草案,指控我们违反了2011年的和解协议,”Twitter发言人说。 联邦贸易委员会发言人拒绝对此发表评论。 2011年,Twitter与联邦贸易委员会达成一项和解协议。根据该协议,在20年内,针对非公开型的消费者个人信息,Twitter被禁止“在这些信息的安全、隐私和保密程度方面误导消费者。” 用户经常会出于安全目的向Twitter提供其电话号码。Twitter在2019年证实,它正在使用这些电话号码,向用户投放广告。当时,Twitter表示,这些数字是“无意中”使用的,并补充说,它不知道有多少用户受到了影响。 监管文件显示,联邦贸易委员会指控该公司在“2013年至2019年期间”滥用用户电话号码或电子邮件,从而违反了和解协议条款。(樵风) (稿源:新浪科技,封面源自网络。)

外媒还原 Twitter 攻击事件经过:FBI 是如何锁定三名黑客的

就上月中旬发生的 Twitter 攻击事件,今天美国执法部门对三名嫌犯发起公诉。根据美国司法部披露的法庭文件,外媒 ZDNet 拼凑出了本次攻击事件的时间线,以及美国调查人员是如何追踪到这三名黑客的。 根据美国司法部今天公布的三份起诉书,本案涉及的三名嫌犯分别包括: Mason Sheppard:网名 Chaewon,现年 19 岁,来自英国 Bognor Regis [起诉书] Nima Fazeli:网名 Rolex,现年 22 岁,来自美国佛罗里达州奥兰多市[起诉书] Graham Ivan Clark:网名 Kirk,现年 17 岁,来自美国佛罗里达州坦帕市[起诉书] 根据法庭文件,整个黑客攻击事件始于今年5月3日,当时居住在美国加州的 Graham Ivan Clark 获得了 Twitter 部分网络的访问权限。不过目前并不清楚5月3日至7月15日(黑客实际发起攻击的当天)之间发生了什么事情,但 Clark 在获得权限之后似乎并没有立即采取攻击行动。 根据纽约时报的跟踪报道,Clark 最初获得的是 Twitter 内部 Slack 工作空间之一的访问权限,而不是 Twitter 本身。 纽约时报在报道中称,该黑客发现了 Twitter 的一个技术支持工具的凭证被固定在该公司的 Slack 频道上。 这个工具的图片在黑客入侵当天在网络上曝光,该工具允许 Twitter 员工控制 Twitter 账户的所有方面。不过这个工具的凭证并不足以访问 Twitter 后台,在 Twitter 官方博客中表示,这个管理后台的账户受到了双因素认证(2FA)的保护。 目前还不清楚 Clark 花了多少时间来做这件事,不过在同一篇调查报告中称黑客利用 “电话鱼叉式网络钓鱼攻击 “欺骗了部分员工,并获得了他们账户的访问权限,而且 “通过了[Twitter]的双因素保护”。根据 Twitter 的说法,这发生在7月15日,也就是黑客攻击的当天。 在攻击事件发生之后,美国 FBI 发现 Clark 在 Discord 上的网名称之为“Kirk#5270”。当时,他联系了另外两个人,帮助将牟取的比特币换成现金。 法庭文件中包含的聊天记录显示,克拉克(Discord 用户 “Kirk#5270”)与 OGUsers 的 Discord 频道的另外两名用户接触,OGUsers 是一个专门为黑客出售和购买社交媒体账号的论坛。 在聊天记录中,克拉克接近了另外两名黑客(Fazeli为Discord用户 “Rolex#037″,Sheppard为Discord用户 “ever so anxious#0001″),并声称自己在Twitter工作。 他通过修改 Fazeli(Rolex#037)拥有的一个账号的设置来证明自己的说法,还向Fazeli出售了@foreign Twitter账号的访问权限。 此外,Clark 还向 Sheppard 出售了多个短 Twitter 账号的使用权,包括 @xx, @dark, @vampire, @obinna 和 @drug。 由于 Clark 让另外两人相信了他的权限级别,三人达成协议,在OGUsers论坛上发布广告,宣传克拉克劫持Twitter账号的能力。 在发布这些广告后,据信有多人购买了 Twitter 账户的访问权限。在美国检察官执行办公室发布在 YouTube 上的录音信息中,调查人员表示,他们仍在调查多名参与黑客攻击的用户。 据信,其中一名当事人负责在7月15日购买名人验证Twitter账户的访问权限,并发布了一条加密货币诈骗信息。 Barrack Obama, Joe Biden, Bill Gates, Elon Musk, Jeff Bezos, Apple, Uber, Kanye West, Kim Kardashian, Floyd Mayweather, Michael Bloomberg等人的账户上随后被发现,要求用户向几个地址发送比特币。 法庭文件称,操作此次骗局中使用的钱包的黑客获得了12.83个比特币,约合11.7万美元。随后的调查还显示,加密货币交易所 Coinbase 在黑客入侵当天就阻止了向诈骗地址的交易,最终阻止了另外 28 万美元被送到骗子手中。     (稿源:cnBeta,封面源自网络。)