Hackernews 编译，转载请注明出处： 推特首席执行官埃隆·马斯克证实了在该平台上为直接消息提供端到端加密（E2EE）的计划。 这项功能是马斯克对Twitter 2.0愿景的一部分，预计将成为所谓的“万能应用”。据马斯克称，其他功能包括长篇推文和支付。 该公司的加密消息计划于2022年11月中旬首次曝光，当时移动研究人员Jane Manchun Wong发现Twitter的Android应用程序中，引用E2EE聊天会话密钥的源代码发生了变化。 值得注意的是，其他各种消息平台，如Signal、Threema、WhatsApp、iMessage、Wire、Tox和Keybase，都已经支持消息加密。 此前，谷歌在其基于RCS的Android消息应用程序中启用E2EE进行一对一聊天，目前正在对群聊进行同样的尝试。同样，Facebook在去年8月开始默认为特定用户在Messenger上启用E2EE。 马斯克进一步表示，该社交媒体平台的新用户注册数量创下了“历史新高”，截至11月16日，过去七天平均每天超过200万，比2021年同期增长66%。Twitter拥有超过2.538亿可盈利日活跃用户（mDAU）。 本月早些时候，在推出改版后的Twitter Blue订阅服务前后，该服务的假冒行为激增。 新的订阅等级暂定最早于2022年12月2日推出，采用多色验证系统，旨在为公司发放金色徽章，为政府发放灰色徽章，为个人账户发放蓝色徽章。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

推特遭受了大规模数据泄露事件暴露了其客户的电子邮件和电话号码，预计影响到多达540多万用户。据悉，这些数据是通过利用这个流行的社交媒体平台中一个现已修复的漏洞获得的。 威胁者在流行的黑客论坛Breached Forums上提供出售被盗数据。1月，一份发表在Hacker上的报告声称发现了一个漏洞，攻击者可以利用这个漏洞通过相关的电话号码/电子邮件找到Twitter账户，即使用户在隐私选项中选择了防止这种情况。 该漏洞允许任何一方在没有任何认证的情况下，通过提交电话号码/电子邮件获得任何用户的twitter ID（这几乎等同于获得一个账户的用户名），即使用户在隐私设置中已经禁止了这一行为。该漏洞的存在是由于Twitter的安卓客户端所使用的授权程序，特别是在检查Twitter账户的重复性的程序。 zhirinovskiy通过漏洞赏金平台HackerOne提交的报告中读到了这样的描述。这是一个严重的威胁，因为人们不仅可以通过电子邮件/电话号码找到那些被限制了能力的用户，而且任何具有基本脚本/编码知识的攻击者都可以枚举一大块之前无法枚举的Twitter用户群（创建一个具有电话/电子邮件到用户名连接的数据库）。这样的数据库可以卖给恶意的一方，用于广告目的，或者用于在不同的恶意活动中给名人打标签。 卖家声称，该数据库包含从名人到公司的用户数据（即电子邮件、电话号码），卖家还以csv文件的形式分享了一份数据样本。 8月，Twitter证实，数据泄露是由研究人员zhirinovskiy通过漏洞赏金平台HackerOne提交的现已修补的零日漏洞造成的，他获得了5040美元的赏金。 据悉，这个错误是由2021年6月对我们的代码进行更新导致的。当我们得知此事时，我们立即进行了调查并修复了它。当时，我们没有证据表明有人利用了这个漏洞。 本周，网站9to5mac.com声称，数据泄露的内容比该公司最初报告的要多。该网站报告说，多个威胁者利用了同一个漏洞，网络犯罪地下的数据有不同的来源。去年Twitter的一次大规模数据泄露，暴露了500多万个电话号码和电子邮件地址，比最初报告的情况更糟糕。我们已经看到证据表明，同一个安全漏洞被多人利用，而被黑的数据已经被几个来源提供给暗网出售。 9to5Mac的说法是基于由不同的威胁行为者提供的包含不同格式的相同信息的数据集的可用性。消息人士告诉该网站，该数据库 “只是他们看到的一些文件中的一个”。似乎受影响的账户只是那些在2021年底启用了 “可发现性|电话选项（在Twitter的设置中很难找到）”的账户。 9to5Mac看到的档案包括属于英国、几乎所有欧盟国家和美国部分地区的Twitter用户的数据。专家们推测，多个威胁者可以进入Twitter数据库，并将其与其他安全漏洞的数据相结合。 账号@chadloder（Twitter在消息披露后）背后的安全研究员告诉9to5Mac.电子邮件-Twitter配对是通过这个Twitter可发现性漏洞运行现有的1亿多电子邮件地址的大型数据库得出的”。该研究人员告诉该网站，他们将与Twitter联系以征求意见，但整个媒体关系团队都离开了该公司。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/_WiUXUxnzepgCuaiq9gCkA 封面来源于网络，如有侵权请联系删除

本周三晚间，安全研究员Lenin Alevski警告说社交媒体平台Mastodon的多个实例容易受到系统配置问题的影响。 过去一个月，大量Twitter用户因特斯拉创始人埃隆·马斯克接管Twitter所带来的剧变而纷纷“叛逃”到“去中心化版Twitter”——Mastodon。 然而，Alevski和Gareth Heyes等安全研究人员发现Mastodon安全成熟度很差。 例如，Alevski发现Mastodon的一个实例——infosec.exchange被上传到未能应用访问控制的存储桶。 Alevski在一篇技术博客文章（链接在文末）透露该漏洞使攻击者有可能访问用户的个人资料图片或任何其他上传的数据，并将其替换为任意内容。 该漏洞还意味着攻击者可以从服务器下载文件——包括通过直接消息（DM）共享的文件（Mastodon上的DM与Twitter不同，省略了加密）。攻击者还有可能实施包括删除服务器文件的破坏性攻击。总之，这个安全漏洞为各种恶作剧和恶意行为敞开了大门。 Alevski向管理Mastodon的infosec.exchange实例的系统管理员Jerry Bell报告了该漏洞后立即得到响应。 Bell表示：“该漏洞是存储桶访问策略配置错误，我没有从默认访问路径中删除写访问权限。” 在问题解决后发布的博客文章中，Alevski补充说：“对象存储级别的系统配置错误会破坏Mastodon的所有安全机制”。 Alevski最后警告说：infosec.exchange绝不是Mastodon生态系统中系统配置漏洞的个案。安全研究人员仍在不断发现其他Mastodon实例上的配置错误。 “我在其中几个（其他实例）中发现了类似的问题，并且已经报告了这些漏洞。”Alevski说道。 转自 安全内参，原文链接：https://www.secrss.com/articles/49338 封面来源于网络，如有侵权请联系删除

据BleepingComputer 11月16日消息，Twitter 正准备为其平台上用户之间的私信 (DM) 添加端到端加密 (E2EE)，预计这一功能将很快到来。 这是一项广受欢迎且需求量很大的功能，它将有助于进一步保护通信双方的私密性，免受任何第三方甚至是法律请求的影响。 早在2018年，Twitter就曾尝试推出 E2EE 系统的原型，并将其命名为“秘密对话”（Secret Conversation），但随后就没有了下文。而最近，移动研究员 Jane Manchun Wong发推称，她发现Twitter的安卓版源代码中出现了关于E2EE 的内容。在一个字符串中，出现了“这个号码是根据你这次对话的加密密钥生成，如果它与接收者手机中的号码相匹配，就能保证端到端加密”的描述。 而Twitter CEO马斯克对此回复了一个“眨眼”的表情，暗示该功能确实正在开发中。 马斯克对发现E2EE代码的推文回复了一个“眨眼”的表情 为什么 Twitter 需要 E2EE 端到端加密确保信息以加密形式发送，收件人需要解密才能得到其中的内容。为此，双方必须使用加密密钥对信息进行加密或解密。在大多数 E2EE 实践中，发件人使用收件人的数字签名公钥来加密信息，而收件人使用私钥来解密。 在 Twitter 的案例中，Wong 提到了“对话密钥”（conversation key），因此实施的 E2EE 方法可能是“对称的”，这意味着聊天中的两个人都使用相同的密钥进行加密和解密。发件人的消息在传输过程中被转换成不可读的密文，因此任何中间人，如互联网服务提供商、黑客，甚至Twitter本身，都无法读取消息内容。 如果 Twitter 在 DM 上引入 E2EE，即使平台被黑客攻破，用户间的这种加密通信也不容易被破解。2020 年 7 月，黑客曾入侵员工帐户并访问管理面板读取了 36 位知名用户的 DM 收件箱，并下载其中 7 位用户的内容。如果 Twitter 当时有 E2EE，那么所有黑客获得的消息都将是不可读的密文，从而减轻对受感染用户的影响。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350033.html 封面来源于网络，如有侵权请联系删除

11月15日，据Info Risk Today报道，安全研究人员警告称，推特的多因素身份验证存在一个漏洞，可能导致账户接管。 该漏洞出现之际正值埃隆•马斯克（Elon Musk）执掌推特第三周，公司的主要安全合规人员离职，大量员工和承包商被解雇。 一位匿名研究人员向媒体透露，向推特验证服务发送“STOP”会导致关闭短信双因素认证，它会自动回复“您的设备已被移除，所有账户的短信双因素验证已被禁用。” 经ISMG验证，该漏洞允许黑客欺骗注册的电话号码以禁用双因素认证。这可能会使账户遭受密码重置攻击或通过密码填充接管账户。推特允许用户通过除短信以外的其他方式建立多因素认证，包括认证应用程序和安全密钥。推特并未回应该漏洞。据报道，其沟通团队已解体。 账户安全一直是推特的痛处。2017年，十几岁的黑客接管了数十个知名账户，包括马斯克、巴拉克·奥巴马、金·卡戴珊·韦斯特和杰夫·贝佐斯的账户，并在其账户中发布加密货币欺诈等信息。 纽约金融服务部（New York Department of Financial Services）认定，推特的内部安全协议薄弱，而且缺乏负责网络安全的高管。 在马斯克担任首席执行官期间，出现了另一个与账户控制有关的问题——大量假冒跨国品牌的假账户。 据路透社13日报道，推特早前推出的每月8美元蓝V用户付费认证订阅服务，导致假账号激增，已于11日被叫停。据报道，此前，推特上拥有蓝V认证的用户中有大多是通过身份认证的名人、记者、政治家等公众人物。但自从马斯克接手推特以来，启动大规模改革，于5日正式推出全新订阅服务，每月收费8美元，以向用户提供蓝V认证标记。报道称，该公司的安全团队曾事先警告马斯克，8美元并不能阻止假帐号。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/network/349902.html 封面来源于网络，如有侵权请联系删除

2022年10月底，沸沸扬扬的Twitter收购案已经落下帷幕，马斯克以440亿美元的价格买下推特。在消息公布的当天，马斯克端着一个洗手盆，以一种搞怪式的出厂方式正式入主Twitter。 但是谁也没有想到，刚刚坐上Twitter大BOSS位置的马斯克转眼就掀起一场腥风血雨，发布了前所未有的大裁员命令。所有员工在毫无准备的情况下得知，马斯克将立马辞退至多 75% 的推特员工。 根据Twitter新任首席信息安全官Lea Kissner发布的消息，原有的网络安全部门集体被裁撤。此前，Twitter 的多名高管被解雇，其中包括首席执行官 Parag Agrawal、公司总法律顾问 Sean Edgett、公司法律政策、信息安全负责人 Vijaya Gadde，他以致力于保护用户数据免受法院执法命令而在业界名声大振。 对此，马斯克表示，推特将组建一个观点广泛的内容审核委员会，在该委员会召开会议之前，不会发生重大的内容决定或帐户恢复。内容审核对任何平台上的用户安全都有密切的影响，尤其是涉及仇恨言论、暴力信息等。在未来的几周内，Twitter将着重发力用户隐私信息保护，对非法政府数据请求的保护，以及提高Twitter整体的安全防护能力。 安全公司 Scythe 的网络威胁情报主管 Jake Williams 表示：在任何重组中首先被裁减的一些人员是参与非职能活动的人员，例如安全专家和内部监督。 这大概是马斯克开除整个安全部门的主观原因，对于Twitter一直以来在内容安全、隐私保护等方面的工作并不满意，因此在开始新的安全征程之前所有的安全团队都被裁撤。 值得注意的是，前 Twitter 首席安全官 Zatko 在他的书面报告和随后的国会证词中都对 Twitter 的流氓内部人员（包括民族国家行为者）、访问控制严重不足和数字安全防御薄弱提出警告。随着时间的推移，马斯克时代缺乏安全投资可能会对用户构成真正的危险。毕竟多年来，Twitter 一直受到犯罪和国家背景攻击者的困扰。 那么，接下来压力给到Twitter用户这边，在未来的几周时间内，Twitter的安全性将会大大降低，而新的安全团队又无法及时进行响应，由此产生的网络攻击将会变得更加恐怖。甚至一些被裁撤的安全人员会充当黑客攻击的“辅助者”，进一步增加了黑客攻击出现的频率和实施的成功率。 转自 Freebuf，原文链接：https://www.freebuf.com/news/348957.html 封面来源于网络，如有侵权请联系删除

如果有一件事是黑客们喜欢利用的，那就是最新的头条新闻。在埃隆-马斯克计划对Twitter的蓝标验证状态每月收费20美元的消息传出后，网络犯罪分子正在发送钓鱼欺诈邮件，声称这是新认证程序的一部分。 马斯克最近宣布，作为Twitter的新主人，他的首要任务之一是改革验证程序。据报道，这将涉及使Twitter Blue – 每月4.99美元的可选订阅为用户提供额外的功能现在变得更加昂贵，那些已经验证的用户将有90天的时间来订阅，否则将失去他们的验证身份。 据报道，这位世界首富给了从事该项目工作的Twitter工程师11月7日之前推出该项目。如果这个期限没有得到满足，这些员工将被解雇。 而网络骗徒则已经试图利用这一变化，向已验证的用户发送钓鱼邮件，声称他们将不必通过确认他们是一个”知名”人士而为他们的蓝色复选标记付费。 欺诈邮件其实并不算高明，多处纰漏暴露了它是钓鱼诈骗。除了不专业的措辞和风格外，它来自Twittercontactcenter@gmail.com的邮件地址甚至都不是Twitter的官方域名。不过，邮件发得多了无疑会有一些人上当受骗。 点击欺诈邮件当中的”提供信息”按钮会将人们带到一个Google文档页面，它包含一个Google网站的链接，该网站允许用户托管网络内容，它很可能是为了试图避开Google的网络钓鱼检测工具。这个页面包含一个来自另一个网站的嵌入式框架，用户被要求提交他们的账户用户名、密码和电话号码。 即使有人启用了双因素认证并避免了他们的账户被泄露，他们仍然泄露了个人数据，包括他们可能在其他网站重复使用的密码。 Google关闭了这个钓鱼网站。但是，随着马斯克继续在Twitter上实施改革，预计会看到更多这种类型的骗局重复出现。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7161037825914176011/ 封面来源于网络，如有侵权请联系删除

一位公司高管在CNN获得的一份内部备忘录中警告说，加州极端高温使Twitter失去了一个关键数据中心，，其他地方的另一次故障可能导致部分用户服务进入黑暗。 Twitte和所有主要的社交媒体平台一样，依赖于数据中心，这些中心基本上是装满计算机的巨大仓库，包括服务器和存储系统。控制这些中心的温度对于确保计算机不会过热和发生故障至关重要。为了节省冷却成本，一些科技公司越来越多地将其数据中心放在气候较冷的地方；例如，Google于2011年在芬兰开设了一个数据中心，而美达公司自2013年起在瑞典北部有一个数据中心。 9月5日，由于极端天气，Twitter经历了其萨克拉门托（SMF）数据中心区域的损失。这一前所未有的事件导致SMF的物理设备完全关闭。大型科技公司通常有多个数据中心，部分原因是为了确保在一个中心发生故障时他们的服务可以保持在线，这被称为冗余。 根据费尔南德斯周五的备忘录，由于萨克拉门托的故障，Twitter正处于”非冗余状态”。她解释说，Twitter在亚特兰大和波特兰的数据中心仍在运行，但Twitter警告说如果失去了这些剩余的数据中心之一，Twitter可能无法为Twitter的所有用户提供流量。 该备忘录继续禁止对Twitter的产品进行非关键性的更新，直到该公司能够完全恢复其萨克拉门托数据中心服务。所有的生产变更，包括移动平台的部署和发布，都被阻止了，但解决服务连续性或其他紧急运营需求所需的变更除外。 这些限制凸显了Twitter一些最基本系统的明显脆弱性，Twitter前安全主管Peiter Zatko在7月发给立法者和政府机构的一份披露中提出了这个问题。在CNN和《华盛顿邮报》首次报道的他的举报信息中，Zatko警告说，Twitter的数据中心冗余不足，引发了短暂服务中断的风险，甚至是Twitter永远离线的情况。 根据扎特科的举报披露，即使是少数数据中发生临时但重叠的故障，也可能导致服务在数周、数月或永久关闭。Twitter批评了Zatko，并对这些指控进行了辩护，称她对该公司进行了错误描述。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1315719.htm 封面来源于网络，如有侵权请联系删除

据《华盛顿邮报》 8月23日报道，推特前安全主管Peiter Zatko向美国证券交易委员会（SEC）、联邦贸易委员会（FTC）和司法部提交了一封举报文件。在文件中，Zatko控诉推特在安全实践中存在“令人震惊的”漏洞，在安全、隐私和内容审核方面存在“严重缺陷”。他还认为，推特高管在联邦监管机构面前谎报安全实力。 Zatko是著名黑客，于2020年底被推特招揽担任安全部门主管。几个月后，黑客劫持了若干世界名人的推特帐户，包括乔·拜登（Joe Biden）和埃隆·马斯克（Elon Musk）。2022年1月，他被推特解雇，任职不到两年。 关于名人推特帐户被盗事件，举报文件中称，黑客的招数非常简单，“黑客假装是推特的IT支持，给一些员工打电话，要求他们提供密码。一些员工上当受骗并提供了密码，而且由于推特访问控制的系统缺陷，手持凭证的黑客可以畅通无阻，入侵任何帐户。” 推特否认上述指控，称Zatko今年1月是因领导不力和表现不佳而被解雇。推特称，安全和隐私一直是推特的优先事项和长期目标。 安全控制差，数据未加密 《华盛顿邮报》报道，Zatko今年早些时候向联邦贸易委员会、证券交易委员会和司法部提出了申诉，申诉文件长达84页。 代表Zatko的“吹哨人”援助组织律师John Tye向哥伦比亚广播公司（CBS）表示，“他非常担心，以至于他冒着可能危及他未来职业生涯的风险，告知监管机构、国会、公众他所发现的漏洞的危害。” “他在推特发现的东西与其他公司的情形都不一样，”Tye补充，Zatko的代号Mudge，他以前曾在谷歌、Stripe和国防高级研究计划局工作过。 Zatko称，推特的内部安全控制很差，该公司1万多名员工中，有多达一半的人可以接触到敏感的用户数据。数千名员工的电脑包含推特源代码的完整副本，30%的员工电脑关闭了自动安全更新和系统防火墙，还未经批准启用了远程桌面访问。同时，推特没有员工电话管理系统。 他还表示，推特在用户注销帐户后没有完全删除用户数据，在某些情况下推特已经失去了对信息的追踪能力，因此推特在是否按要求删除数据方面误导了监管机构。此外，推特许多存储和处理用户信息的数据中心不支持数据加密。 根据推特2011年与联邦贸易委员会的和解协议，推特被要求维持一个“全面的信息安全计划”，但Zatko称，”推特从来没有遵守2011年与联邦贸易委员会的和解协议。” “仅在2020年，推特就发生了40多起安全事件，其中70%与访问控制有关，”文件中写道。 除了控诉推特公司网络安全存在严重缺陷外，Zatko还表示印度政府强迫推特雇用其一名代理商。 Zatko还声称，推特公司雇用了外国间谍，他引用了一个美国政府消息来源的说法，即 “某位或多位雇员为另一个外国情报机构工作”。 无力清理平台垃圾账户 除了对安全松懈的指控，这项指控还呼应了埃隆·马斯克（Elon Musk）对该平台被机器人占领的批评，称高管们无法知道哪些账户是假的。 投诉中称，推特无意清理或没有能力清理平台上的僵尸和垃圾邮件账户，而且它对用户的个人身份信息管理不善，经常出现安全漏洞。 今年早些时候，马斯克曾出价440亿美元收购Twitter，但在今年7月撤回了收购要约。但法律程序上是否要求马斯克如约完成收购案，将在10月进行审判。 Zatko在投诉中称：“无知是高管领导团队的常态。”公司甚至无法提供垃圾邮件和机器人账户的具体数目。他声称，负责网站完整性的团队不知道如何检测机器帐户，忙于内部闹剧，公司也没有动力去管控机器帐户。 Zatko声称，Twitter使用的一种内部验证方法，但经常被禁用，每个月挫败了多达1200万个机器人。该投诉称，2021年，Twitter创建了一种奖金结构，员工可以获得高达1000万美元的奖金，以短期增加可盈利的日活跃用户（mDAU），但减少平台上的垃圾邮件并不在奖励范围内。 推特向监管机构表示，平台的日活跃用户中只有不到5%是机器人。然而，Zatko表示这是一个谎言，因为mDAU指标的设计已经排除了机器人和其他垃圾邮件账户。 美国参议院情报委员会发言人雷切尔·科恩（Rachel Cohen）说，委员会已经收到了起诉书，并“正在安排一次会议，进一步讨论指控的相关细节，我们会认真对待这件事。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342774.html 封面来源于网络，如有侵权请联系删除

根据Twitter前安全主管、由传奇黑客转为网络安全专家的Peiter Zatko的证词，Twitter隐藏了疏忽的安全做法，在安全方面误导了联邦监管机构，并且未能正确估计其平台上的机器人数量。这些爆炸性的指控可能会产生巨大的后果，包括联邦罚款和特斯拉首席执行官埃隆-马斯克(Elon Musk)收购Twitter的竞标可能会解体。 Peiter Zatko在1月被Twitter解雇，并声称这是对他拒绝对该公司的漏洞保持沉默的报复。上个月，他向美国证券交易委员会（SEC）提出申诉，指责Twitter欺骗股东，并违反了它与联邦贸易委员会（FTC）达成的维护某些安全标准的协议。他的投诉共200多页，由CNN和《华盛顿邮报》获得，并在今天上午以编辑的形式发表。 Peiter Zatko在接受CNN采访时说，他在2020年应时任首席执行官杰克-多尔西(Jack Dorsey)的要求加入了Twitter，当时该公司正遭受大规模黑客攻击，属于巴拉克-奥巴马、比尔-盖茨和坎耶-韦斯特等人的账户被泄露。扎特科说，他加入Twitter是因为他相信这个平台是世界上的一个”关键资源”，但由于首席执行官帕拉格-阿格拉瓦(Parag Agrawal)拒绝解决该公司的许多安全问题，他开始感到失望。 Peiter Zatko向美国证券交易委员会披露的信息包含了许多令人震惊的报告和指控，但这些是最重要的一些。Peiter Zatko在申诉中称，Twitter漏洞的一个重要部分是有太多员工可以访问关键系统。它指出，在Twitter的7000名左右的全职员工中，约有一半人可以访问用户的敏感个人资料（如电话号码）和内部软件，而且这种访问没有受到密切监控。 他还声称，数以千计的笔记本电脑包含Twitter源代码的完整副本。Peiter Zatko投诉称，Twitter多次向用户和联邦贸易委员会作出”虚假和误导性陈述”，违反了这一协议。Twitter多次声称，其每月日活跃用户中只有不到5%是机器人、虚假账户或垃圾邮件。对此，Peiter Zatko表示，Twitter衡量这一数字的方法具有误导性，而且高管们受到激励（奖金高达1000万美元），以提高用户数量，而不是清除垃圾机器人。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1307899.htm 封面来源于网络，如有侵权请联系删除