标签: Twitter

Azuki Twitter 账号遭黑客入侵,造成用户损失约 78 万美元

1月28日凌晨,蓝筹NFT项目Azuki Twitter账号遭到黑客入侵,发布一系列虚假“Azuki虚拟世界土地Mint”推文及链接。 目前Azuki官方已恢复其账号控制权,第一时间发布公告并删除相关推文及链接,Azuki开发团队Chiru Labs表示正在与Twitter联系并调查此次违规事件。 Web3安全研究员Fantasy表示,本次“Azuki Twitter黑客入侵”事件中的用户损失约为78万美元。 某0x3ec开头用户地址被盗75.1万枚USDC,其余用户被盗少量ETH,目前黑客已将全部USDC兑换为ETH。     转自 新浪财经,原文链接:https://finance.sina.com.cn/blockchain/roll/2023-01-28/doc-imycsxuu0298011.shtml 封面来源于网络,如有侵权请联系删除

Twitter 回应,2 亿用户数据不是通过系统漏洞流出

Bleeping Computer 网站披露,沸沸扬扬的 Twitter 2 亿用户数据泄露并在网上出售的事件可能出现了反转。Twitter 在声明中表示,针对媒体报道的用户数据在网上出售问题,公司组织了安全专家,进行彻底调查后,发现没有证据表明泄露的用户数据是利用推特系统漏洞获取的。 值得一提的是,今年 8 月,Twitter 承认某网络犯罪组织利用 2022 年 1 月修复的漏洞,盗取了 540 万推特用户的个人数据信息。据悉,网络攻击者通过利用该漏洞将电子邮件地址和电话号码链接到 Twitter 用户的帐户,成功盗取数据。 不同于媒体宣传的那样,Twitter 强调此次 2 亿 Twitter 用户数据泄漏事件并非是利用了 2022 年 1 月修补的漏洞,经安全专家分析研究,发现泄露的数据集中都不包含密码或可能导致密码被泄露的信息。 此外,Twitter 补充称,根据调查分析 2 亿用户数据泄漏事件,安全研究人员认为这些数据很可能是在网上公开的数据集。 虽然 Twitter 不断解释数据泄露事件和以往的漏洞没有关系,但一直未能讲清楚 2 亿用户泄露的数据是如何准确地与他们账户相关的电子邮件地址联系起来的。 数据泄漏事件发生后,Twitter 一直与多个国家的数据保护机构和其它相关数据监管机构联系,期望获得更多有关 “2 亿用户数据泄露事件 “的细节。 2022 年 12 月,爱尔兰数据保护委员会(DPC)宣布,在收到消息称 540 万推特用户个人信息在网上泄露后,委员会发起了一项调查,并“提出了与 GDPR 合规相关的问题”。值得一提的是,这并不是 DPC 第一次盯上 Twitter,两年前,因其没有按照欧盟《通用数据保护条例》(GDPR)规定的 72 小时内通知数据监督机构发生违规事件,对 Twitter 处以 45 万欧元的罚款。   转自 Freebuf,原文链接:https://www.freebuf.com/articles/355054.html 封面来源于网络,如有侵权请联系删除  

2 亿 Twitter 用户的数据被公开,仅需 2 美元即可下载

近日,一个包含超过2亿Twitter用户数据的文件在一个流行的黑客论坛上发布,价格约为2美元。 目前,已经证实了泄露中列出的诸多用户数据的有效性。 自2022年7月22日以来,攻击者一直在各种在线黑客论坛和网络犯罪市场上出售和流转大量的Twitter用户资料,其中包括私人(电话号码和电子邮件地址)和公共数据。 这些数据集是在2021年利用Twitter的API漏洞创建的,该漏洞允许用户输入电子邮件地址和电话号码,以确认它们是否与Twitter ID相关。 然后,攻击者利用另一个API抓取该ID的公共Twitter数据,并将这些公共数据与私人电子邮件地址/电话号码相结合,创建完整的Twitter用户档案。 虽然Twitter在2022年1月修复了这个漏洞,但最近多个攻击者开始免费泄露他们一年前收集的数据集。 第一个540万用户的数据集在7月以3万美元的价格出售,并最终在2022年11月27日免费发布。另一个据称包含1700万用户数据的数据集也在11月私下流转。 最近,一个威胁行为者开始出售一个数据集,他们声称该数据集包含4亿份Twitter资料。 2亿Twitter用户资料被公开 今天,一名攻击者在Breached黑客论坛上发布了一个由2亿条Twitter用户资料组成的数据集,仅需要该论坛的8个货币价值约2美元,即可下载。 据称,这个数据集与11月流传的4亿个数据集相同,但经过清理,去掉重复的数据,总数减少到约2亿条。这些数据是以RAR档案的形式发布的,包括六个文本文件,总大小为59GB的数据。 文件中的每一行都代表一个Twitter用户和他们的数据,其中包括电子邮件地址、姓名、网名、关注人数和账户创建日期,如下图所示。 目前已经能够确认许多列出的Twitter个人资料是正确的,但整个数据集并没有得到确认。此外,该数据集并非完整,因为有许多用户没有被发现在此次泄漏中。判断个人信息是否在这个数据集中,高度取决于你的电子邮件地址是否在以前的数据泄露中被曝光。 BleepingComputer工作人员第一时间就这一泄露的数据联系了Twitter,但目前并没有得到回复。   转自 Freebuf,原文链接:https://www.freebuf.com/news/354336.html 封面来源于网络,如有侵权请联系删除

马斯克疯狂裁员75%后,推特出现全球宕机

当地时间12月28日凌晨,上万名Twitter用户报告Twitter出现故障,用户无法访问该网站或使用其主要功能。此次故障范围波及包括美国、日本、英国在内的全球各个国家和地区,换句话说,Twitter再次爆发了全球性宕机事件。 据网络状况监测站Downdetector的数据显示,此次宕机事件发生在半夜,直接影响到手机应用和通知等功能,其中美国和亚洲的法新社记者的账户也在遇到故障之列。 一些用户反馈Twitter出现很多奇怪的错误消息,比如看到的是空白页面,或无法回复推文或关注热门话题,而另一些人是退出服务。Twitter 还向一些用户显示“速率超出限制”,这表明其服务器无法处理传入的请求。话题标签 #TwitterDown 正在该平台上流行。 故障出现之后,Twitter官方表示正在修复问题,不到一小时候,通报故障的问题数量下降至3700多起,一些遗失的信息和推文也重新出现在Twitter上。 这是自马斯克440亿美元收购Twitter之后,首次出现如此大规模的全球宕机事件。有人猜测,此次Twitter宕机或许和前段时间马斯克疯狂裁员有关,裁员比例达到了前所未有的75%,包括开发人员、维护人员在内的数千名员工被解雇,其中安全部门更是全部被裁撤,并且导致Twitter内部一直处于混乱之中。 马斯克疯狂裁员虽然有利于降低企业成本和对现金流的负担,但是也让很多用户对于Twitter快速修复BUG,快速解决问题能力的担忧。 值得一提的是,这是2022年Twitter第二次出现全球性大宕机事件。7月14日,仅在美国,就有超过5.4万人报告了Twitter的问题。此外,包括英国、墨西哥、巴西和意大利在内的其他国家的用户,也报告了类似的问题。 此次全球宕机事件也和马斯克有关,彼时正处于Twitter起诉特斯拉CEO埃隆·马斯克的期间,称称其违反了以440亿美元收购Twitter交易。为此,Twitter要求特拉华州一家法院命令马斯克继续完成这笔交易。   转自 Freebuf,原文链接:https://www.freebuf.com/news/353919.html 封面来源于网络,如有侵权请联系删除

包括美国前总统特朗普,攻击者窃取 Twitter 4 亿数据并出售

据Security Affairs消息,一名攻击者声称已窃取Twitter 4亿用户数据,并将其挂在地下论坛出售。 这位昵称为“Ryushi”的论坛用户发帖称,他通过系统漏洞抓取了用户数据,这些用户身份上至名人、政府官员,下至普通的一般用户。攻击者还提供了包含 1000 个帐户的样本作为证明,其中包含了美国前总统特朗普的账户数据。 攻击者还向Twitter CEO马斯克建议老老实实花钱来购买这些数据,否则将面临来自监管机构的巨额罚款。 目前尚无媒体或安全机构进一步核实这名攻击者的说法及这4亿用户数据的保真性。 监管机构已就上个月的数据泄露展开调查 在上个月的540万Twitter 用户数据泄露事件发生后,爱尔兰数据保护委员会 (DPC) 已就此展开调查,在12月23日发表的一份声明中,DCP表示已就此事与Twitter 进行了沟通,并认为很可能已经违规了与个人数据相关的一项或多项 GDPR法案规定。 作为 Twitter 在欧盟的主要监管机构,DPC 希望确定这家社交媒体巨头是否履行了其作为数据控制者在处理用户数据方面的义务,以及它是否违反了《通用数据保护条例》(EU GDPR) 的任何规定或 2018 年制定的数据保护法。   转自 Freebuf,原文链接:https://www.freebuf.com/news/353514.html 封面来源于网络,如有侵权请联系删除

埃隆·马斯克证实 Twitter 2.0 将为直接消息带来端到端加密

Hackernews 编译,转载请注明出处: 推特首席执行官埃隆·马斯克证实了在该平台上为直接消息提供端到端加密(E2EE)的计划。 这项功能是马斯克对Twitter 2.0愿景的一部分,预计将成为所谓的“万能应用”。据马斯克称,其他功能包括长篇推文和支付。 该公司的加密消息计划于2022年11月中旬首次曝光,当时移动研究人员Jane Manchun Wong发现Twitter的Android应用程序中,引用E2EE聊天会话密钥的源代码发生了变化。 值得注意的是,其他各种消息平台,如Signal、Threema、WhatsApp、iMessage、Wire、Tox和Keybase,都已经支持消息加密。 此前,谷歌在其基于RCS的Android消息应用程序中启用E2EE进行一对一聊天,目前正在对群聊进行同样的尝试。同样,Facebook在去年8月开始默认为特定用户在Messenger上启用E2EE。 马斯克进一步表示,该社交媒体平台的新用户注册数量创下了“历史新高”,截至11月16日,过去七天平均每天超过200万,比2021年同期增长66%。Twitter拥有超过2.538亿可盈利日活跃用户(mDAU)。 本月早些时候,在推出改版后的Twitter Blue订阅服务前后,该服务的假冒行为激增。 新的订阅等级暂定最早于2022年12月2日推出,采用多色验证系统,旨在为公司发放金色徽章,为政府发放灰色徽章,为个人账户发放蓝色徽章。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Twitter 遭黑客攻击泄露 540 万户数据,影响比想象中严重

推特遭受了大规模数据泄露事件暴露了其客户的电子邮件和电话号码,预计影响到多达540多万用户。据悉,这些数据是通过利用这个流行的社交媒体平台中一个现已修复的漏洞获得的。 威胁者在流行的黑客论坛Breached Forums上提供出售被盗数据。1月,一份发表在Hacker上的报告声称发现了一个漏洞,攻击者可以利用这个漏洞通过相关的电话号码/电子邮件找到Twitter账户,即使用户在隐私选项中选择了防止这种情况。 该漏洞允许任何一方在没有任何认证的情况下,通过提交电话号码/电子邮件获得任何用户的twitter ID(这几乎等同于获得一个账户的用户名),即使用户在隐私设置中已经禁止了这一行为。该漏洞的存在是由于Twitter的安卓客户端所使用的授权程序,特别是在检查Twitter账户的重复性的程序。 zhirinovskiy通过漏洞赏金平台HackerOne提交的报告中读到了这样的描述。这是一个严重的威胁,因为人们不仅可以通过电子邮件/电话号码找到那些被限制了能力的用户,而且任何具有基本脚本/编码知识的攻击者都可以枚举一大块之前无法枚举的Twitter用户群(创建一个具有电话/电子邮件到用户名连接的数据库)。这样的数据库可以卖给恶意的一方,用于广告目的,或者用于在不同的恶意活动中给名人打标签。 卖家声称,该数据库包含从名人到公司的用户数据(即电子邮件、电话号码),卖家还以csv文件的形式分享了一份数据样本。 8月,Twitter证实,数据泄露是由研究人员zhirinovskiy通过漏洞赏金平台HackerOne提交的现已修补的零日漏洞造成的,他获得了5040美元的赏金。 据悉,这个错误是由2021年6月对我们的代码进行更新导致的。当我们得知此事时,我们立即进行了调查并修复了它。当时,我们没有证据表明有人利用了这个漏洞。 本周,网站9to5mac.com声称,数据泄露的内容比该公司最初报告的要多。该网站报告说,多个威胁者利用了同一个漏洞,网络犯罪地下的数据有不同的来源。去年Twitter的一次大规模数据泄露,暴露了500多万个电话号码和电子邮件地址,比最初报告的情况更糟糕。我们已经看到证据表明,同一个安全漏洞被多人利用,而被黑的数据已经被几个来源提供给暗网出售。 9to5Mac的说法是基于由不同的威胁行为者提供的包含不同格式的相同信息的数据集的可用性。消息人士告诉该网站,该数据库 “只是他们看到的一些文件中的一个”。似乎受影响的账户只是那些在2021年底启用了 “可发现性|电话选项(在Twitter的设置中很难找到)”的账户。 9to5Mac看到的档案包括属于英国、几乎所有欧盟国家和美国部分地区的Twitter用户的数据。专家们推测,多个威胁者可以进入Twitter数据库,并将其与其他安全漏洞的数据相结合。 账号@chadloder(Twitter在消息披露后)背后的安全研究员告诉9to5Mac.电子邮件-Twitter配对是通过这个Twitter可发现性漏洞运行现有的1亿多电子邮件地址的大型数据库得出的”。该研究人员告诉该网站,他们将与Twitter联系以征求意见,但整个媒体关系团队都离开了该公司。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/_WiUXUxnzepgCuaiq9gCkA 封面来源于网络,如有侵权请联系删除

“去中心化版 Twitter”Mastodon 曝出严重漏洞

本周三晚间,安全研究员Lenin Alevski警告说社交媒体平台Mastodon的多个实例容易受到系统配置问题的影响。 过去一个月,大量Twitter用户因特斯拉创始人埃隆·马斯克接管Twitter所带来的剧变而纷纷“叛逃”到“去中心化版Twitter”——Mastodon。 然而,Alevski和Gareth Heyes等安全研究人员发现Mastodon安全成熟度很差。 例如,Alevski发现Mastodon的一个实例——infosec.exchange被上传到未能应用访问控制的存储桶。 Alevski在一篇技术博客文章(链接在文末)透露该漏洞使攻击者有可能访问用户的个人资料图片或任何其他上传的数据,并将其替换为任意内容。 该漏洞还意味着攻击者可以从服务器下载文件——包括通过直接消息(DM)共享的文件(Mastodon上的DM与Twitter不同,省略了加密)。攻击者还有可能实施包括删除服务器文件的破坏性攻击。总之,这个安全漏洞为各种恶作剧和恶意行为敞开了大门。 Alevski向管理Mastodon的infosec.exchange实例的系统管理员Jerry Bell报告了该漏洞后立即得到响应。 Bell表示:“该漏洞是存储桶访问策略配置错误,我没有从默认访问路径中删除写访问权限。” 在问题解决后发布的博客文章中,Alevski补充说:“对象存储级别的系统配置错误会破坏Mastodon的所有安全机制”。 Alevski最后警告说:infosec.exchange绝不是Mastodon生态系统中系统配置漏洞的个案。安全研究人员仍在不断发现其他Mastodon实例上的配置错误。 “我在其中几个(其他实例)中发现了类似的问题,并且已经报告了这些漏洞。”Alevski说道。 转自 安全内参,原文链接:https://www.secrss.com/articles/49338 封面来源于网络,如有侵权请联系删除

Twitter 源代码表明,端到端加密私信即将到来

据BleepingComputer 11月16日消息,Twitter 正准备为其平台上用户之间的私信 (DM) 添加端到端加密 (E2EE),预计这一功能将很快到来。 这是一项广受欢迎且需求量很大的功能,它将有助于进一步保护通信双方的私密性,免受任何第三方甚至是法律请求的影响。 早在2018年,Twitter就曾尝试推出 E2EE 系统的原型,并将其命名为“秘密对话”(Secret Conversation),但随后就没有了下文。而最近,移动研究员 Jane Manchun Wong发推称,她发现Twitter的安卓版源代码中出现了关于E2EE 的内容。在一个字符串中,出现了“这个号码是根据你这次对话的加密密钥生成,如果它与接收者手机中的号码相匹配,就能保证端到端加密”的描述。 而Twitter CEO马斯克对此回复了一个“眨眼”的表情,暗示该功能确实正在开发中。 马斯克对发现E2EE代码的推文回复了一个“眨眼”的表情 为什么 Twitter 需要 E2EE 端到端加密确保信息以加密形式发送,收件人需要解密才能得到其中的内容。为此,双方必须使用加密密钥对信息进行加密或解密。在大多数 E2EE 实践中,发件人使用收件人的数字签名公钥来加密信息,而收件人使用私钥来解密。 在 Twitter 的案例中,Wong 提到了“对话密钥”(conversation key),因此实施的 E2EE 方法可能是“对称的”,这意味着聊天中的两个人都使用相同的密钥进行加密和解密。发件人的消息在传输过程中被转换成不可读的密文,因此任何中间人,如互联网服务提供商、黑客,甚至Twitter本身,都无法读取消息内容。 如果 Twitter 在 DM 上引入 E2EE,即使平台被黑客攻破,用户间的这种加密通信也不容易被破解。2020 年 7 月,黑客曾入侵员工帐户并访问管理面板读取了 36 位知名用户的 DM 收件箱,并下载其中 7 位用户的内容。如果 Twitter 当时有 E2EE,那么所有黑客获得的消息都将是不可读的密文,从而减轻对受感染用户的影响。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350033.html 封面来源于网络,如有侵权请联系删除

马斯克执掌推特三周后,双因素身份认证出现漏洞

11月15日,据Info Risk Today报道,安全研究人员警告称,推特的多因素身份验证存在一个漏洞,可能导致账户接管。 该漏洞出现之际正值埃隆•马斯克(Elon Musk)执掌推特第三周,公司的主要安全合规人员离职,大量员工和承包商被解雇。 一位匿名研究人员向媒体透露,向推特验证服务发送“STOP”会导致关闭短信双因素认证,它会自动回复“您的设备已被移除,所有账户的短信双因素验证已被禁用。” 经ISMG验证,该漏洞允许黑客欺骗注册的电话号码以禁用双因素认证。这可能会使账户遭受密码重置攻击或通过密码填充接管账户。推特允许用户通过除短信以外的其他方式建立多因素认证,包括认证应用程序和安全密钥。推特并未回应该漏洞。据报道,其沟通团队已解体。 账户安全一直是推特的痛处。2017年,十几岁的黑客接管了数十个知名账户,包括马斯克、巴拉克·奥巴马、金·卡戴珊·韦斯特和杰夫·贝佐斯的账户,并在其账户中发布加密货币欺诈等信息。 纽约金融服务部(New York Department of Financial Services)认定,推特的内部安全协议薄弱,而且缺乏负责网络安全的高管。 在马斯克担任首席执行官期间,出现了另一个与账户控制有关的问题——大量假冒跨国品牌的假账户。 据路透社13日报道,推特早前推出的每月8美元蓝V用户付费认证订阅服务,导致假账号激增,已于11日被叫停。据报道,此前,推特上拥有蓝V认证的用户中有大多是通过身份认证的名人、记者、政治家等公众人物。但自从马斯克接手推特以来,启动大规模改革,于5日正式推出全新订阅服务,每月收费8美元,以向用户提供蓝V认证标记。报道称,该公司的安全团队曾事先警告马斯克,8美元并不能阻止假帐号。 转自 Freebuf,原文链接:https://www.freebuf.com/articles/network/349902.html 封面来源于网络,如有侵权请联系删除