因从事间谍活动,前 Twitter 员工最高可判 20 年监禁
据彭博社报道,因窃取 Twitter 用户有关的私人信息,并将数据交给沙特阿拉伯政府,美国公民艾哈迈德·阿布阿莫(Ahmad Abouammo)将最高面临 20 年的监禁。 据悉,该案件还涉及到另一位 Twitter 工程师阿尔扎巴拉(Ali Alzabarah),此人目前已逃离美国,正在被当局通缉,阿布阿莫于 2019 年 11 月 5 日被捕。 早在三年前,阿布阿莫与阿尔扎巴拉和艾哈迈德-阿尔穆泰里(Ahmed Aljbreen)三人被美国法院指控是沙特阿拉伯的“非法代理人 ”,遭到了起诉。根据旧金山联邦法院的判决可知,前者还遭到了串谋电信欺诈、伪造记录和洗钱等犯罪指控。 被告人开始从事间谍活动 从法庭文件披露的信息来看,2013 年,阿布阿莫和阿尔扎巴拉在推特工作期间接受了沙特阿拉伯王国官员的招募,在社交媒体平台上揭露其批评者。 这两个人利用他们对内部系统的访问权限,在未经授权的情况下,非法获取了有关批评阿拉伯政权用户的非公开信息(主要包括电子邮件地址、电话号码、IP 地址和出生日期等私人信息)。 随后,2 人将这些信息告诉了一名与沙特政府有关联的沙特官员,作为回报,阿布阿莫收到了 30 万美元的现金和一块价值 4 万美元的 Hublot Unico Big Bang King Gold Ceramic 手表。 值得一提的是,据说为了阻碍调查,阿布阿莫在 2018 年 10 月在西雅图的家中面对联邦调查局(FBI)探员时撒了谎,称收到的这块手表是 “垃圾”,仅仅值 500 美元。 联邦调查局特别探员约翰-F-贝内特强调,阿布阿莫几人被指控在沙特阿拉伯政府的指示和控制下,以持不同政见者的批评者为目标,以期获取他们的私人数据信息,这种行为对美国企业和美国国家安全构成了严重威胁。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341604.html 封面来源于网络,如有侵权请联系删除
Twitter 证实,零日漏洞致 540 万账户数据泄露
Twitter 证实,最近泄露 540 万个账户数据的数据泄露事件是由利用零日漏洞造成的。7月底,一名威胁参与者泄露了 540 万个 Twitter 账户的数据,这些账户是通过利用Twitter 平台中现已修复的漏洞获得的。 威胁行为者在流行的黑客论坛 Breached Forums 上出售被盗数据。早在一月份,Hacker 上发布的一份报告声称发现了一个漏洞,攻击者可以利用该漏洞通过相关的电话号码/电子邮件找到 Twitter 账户,即使用户已选择在隐私选项中阻止这种情况。 “该漏洞允许任何未经任何身份验证的一方 通过提交电话号码/电子邮件来获取任何用户的Twitter ID(这几乎等于获取账户的用户名),即使用户已在隐私设置中禁止此操作。由于 Twitter 的 Android 客户端中使用的授权过程,特别是在检查 Twitter 账户重复的过程中,存在该错误。”zhirinovskiy 提交的报告中指出:“通过漏洞赏金平台 HackerOne,这是一个严重的威胁,因为人们不仅可以找到限制通过电子邮件/电话号码找到能力的用户,而且任何具有脚本/编码基本知识的攻击者都可以列举出大量无法使用的 Twitter 用户群枚举之前(创建一个带有电话/电子邮件到用户名连接的数据库)。此类基地可以出售给恶意方用于广告目的,或用于在不同的恶意活动中对名人进行攻击。” 卖家声称该数据库包含从名人到公司的用户数据(即电子邮件、电话号码)。卖家还以 csv 文件的形式分享了一份数据样本。 在帖子发布几个小时后,Breach Forums 的所有者验证了泄漏的真实性,并指出它是通过上述 HackerOne 报告中的漏洞提取的。 “我们下载了样本数据库进行验证和分析。它包括来自世界各地的人,拥有公开的个人资料信息以及与该账户一起使用的 Twitter 用户的电子邮件或电话号码。” 卖家告诉 RestorePrivacy,他要求为整个数据库至少支付 30,000 美元。 现在 Twitter 确认数据泄露是由 zhirinovskiy 通过漏洞赏金平台 HackerOne 提交的现已修补的零日漏洞造成的。 Twitter 确认了此漏洞的存在,并授予了 zhirinovskiy 5,040美元的奖金。 “我们想让你知道一个漏洞,该漏洞允许某人在登录流程中输入电话号码或电子邮件地址,以试图了解该信息是否与现有的 Twitter 账户相关联,如果是,哪个特定账户。” Twitter 的公告。“在 2022 年 1 月,我们通过我们的漏洞赏金计划收到了一份漏洞报告,该漏洞允许某人识别与账户关联的电子邮件或电话号码,或者,如果他们知道某人的电子邮件或电话号码,他们可以识别他们的 Twitter 账户,如果存在的话,”这家社交媒体公司继续说道。 “这个错误是由 2021 年 6 月我们的代码更新造成的。当我们了解到这一点时,我们立即进行了调查并修复了它。当时,我们没有证据表明有人利用了这个漏洞。” 该公司正在通知受影响的用户,它还补充说,它知道安全漏洞对那些使用假名 Twitter 账户以保护其隐私的用户造成的风险。没有泄露密码,但鼓励其用户 使用身份验证应用程序或硬件安全密钥启用 2 因素身份 验证,以保护其账户免受未经授权的登录。 BleepingComputer报告说,两个不同的威胁参与者以低于原始售价的价格购买了这些数据。这意味着威胁行为者将来可以使用这些数据来攻击 Twitter 账户。 转自 E安全 ,原文链接:https://mp.weixin.qq.com/s/G9mHzpFpEcbLzwDb1KpuMg 封面来源于网络,如有侵权请联系删除
官方 Twitter 账号被黑一周后仍未找回
AV-TEST 和 AV-Comparatives 是两家知名的反恶意软件评估公司。尽管久负盛名,但是前者遇到了一件尴尬的事情:官方 Twitter 账号于 7 月 25 日被黑了,但时间过去 1 周仍未恢复对其的控制。 虽然 AV-TEST 无法阻止其帐户遭到入侵,但它通过其德国帐户迅速做出回应,将该问题报告给 Twitter 支持。 然而,社交媒体的支持似乎并没有太大帮助,因为该公司在接下来的几天再次联系 Twitter,但未能成功恢复该账号。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1300273.htm 封面来源于网络,如有侵权请联系删除
研究人员发现近 3200 个移动应用程序泄露 Twitter API 密钥
Hackernews 编译,转载请注明出处: 研究人员发现了一份3207个应用程序的列表,其中一些应用程序可以用来获取未经授权的Twitter帐户访问权限。 研究人员说:“在3207个应用程序中,有230个应用程序泄漏了所有四个身份验证凭据,可用于完全接管其Twitter帐户,并执行任何关键/敏感操作。” 从阅读直接消息到执行任意操作,如转发、点赞和删除推文,关注任何帐户,删除关注者,访问帐户设置,甚至更改帐户头像。 访问Twitter API需要生成密钥和访问令牌,这些密钥和令牌充当应用程序的用户名和密码,并代表发出API请求的用户。 因此,拥有这些信息的黑客可以创建一个Twitter机器人军队,该军队可能被用来在社交媒体平台上传播错误/虚假信息。 此外,在CloudSEK解释的一个假设场景中,从移动应用程序中获取的API密钥和令牌可以嵌入到一个程序中,通过验证帐户运行大规模恶意软件活动,以锁定其追随者。 除此之外,应该注意的是,密钥泄漏不仅仅限于Twitter API。过去,CloudSEK研究人员已经从未受保护的移动应用程序中发现了GitHub、AWS、HubSpot和Razorpay帐户的密钥。 为了缓解此类攻击,建议查看代码中是否有直接硬编码的API密钥,同时定期轮换密钥,以降低泄漏可能带来的风险。 研究人员说:“环境中的变量是引用和隐藏密钥的另一种方法,而不是将它们嵌入源文件。变量可以节省时间并提高安全性,应充分注意确保源代码中不包含环境变量的文件。” 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
黑客以 3 万美元兜售 Twitter 数据,称涉及 540 万用户
Twitter今年早些时候曾确认其存在并修复过一个网络安全漏洞,该漏洞可导致用户的账号ID、电话号码、电子邮件被泄露。 近日, 有黑客以3万美元(约合20万人民币)兜售540万Twitter账户数据。据了解,Twitter今年早些时候曾确认其存在并修复过一个网络安全漏洞,该漏洞可导致用户的账号ID、电话号码、电子邮件被泄露。 上述漏洞在今年1月被网络安全平台Hackerone用户zhirinovskiy发现,并向Twitter作了报告。 在此漏洞下,即便用户在隐私设置中隐藏了电话号码、电子邮件、账号ID的情况下,攻击者依然可以获取到这些信息。通常来说,该漏洞存在于安卓用户使用授权Twitter的过程中。 其后,Twitter工作人员表示,将会进一步调查并努力修复该漏洞,并向用户zhirinovskiy提供了5040美元的奖金。 不过,7月21日,RestorePrivacy注意到,一位新用户在黑客论坛上出售Twitter数据库,其称有540万用户的数据,涵盖了一些知名人士、公司机构、以及普通用户的账户信息。 RestorePrivacy下载了样本数据库进行验证和分析发现,受害者来自世界各地,这些被泄露的数据包括公开的个人资料信息以及与Twitter账号绑定的电子邮件、电话号码。同时,经过验证,样本中的数据可以与现实世界中的人相匹配。对此,Twitter回应称,他们正在核查此事。 实际上,这并非Twitter首次发生数据泄露事件。 2019年1月,Twitter披露了其修复的一个安全漏洞,而在此前四年多的时间里,该漏洞使得许多用户的私人推文被泄露。2020年 12月,因Twitter在此数据泄露事件中未能及时通知和充分记录违规行为,爱尔兰数据保护委员会(DPC)对其开出了45万欧元的罚单。 转自 安全内参,原文链接:https://www.secrss.com/articles/45016 封面来源于网络,如有侵权请联系删除
黑客以 30000 美元的价格提供 540 万个 Twitter 账户的详细信息
2022年初发现的一个Twitter安全漏洞被用来盗取540万用户的账户信息,黑客正在提供这套资料进行销售。与2021年8月受影响的4.78亿T-Mobile用户相比,540万用户的黑客攻击相比算是很小的。与同月晚些时候受影响的AT&T的7000万用户相比也不算大。 然而,现在出售的黑客数据来自2022年1月报告的一个漏洞。Twitter承认这是一个现实存在安全问题,并向发现者”zhirinovskiy”支付了5040美元的赏金。 正如HackerOne用户zhirinovskiy在1月的最初报告中所描述的那样,一个威胁者现在正在出售据称从这个漏洞中获得的数据,Restore Privacy的Sven Taylor说。”该帖子现在仍在叫卖,据称由540万用户组成的Twitter数据库正在出售。” 黑客论坛上的卖家的用户名是’魔鬼’,并声称该数据集包括’名人、公司等重要账号的数据。”我们联系了这个数据库的卖家,以收集更多信息,”Taylor说。”卖家为这个数据库至少要价3万美元,据卖家说,由于’Twitter的无能’,这个数据库现在可以使用了。” 卖家在网站Breach Forums上发布了关于这些数据的信息。该论坛的所有者已经核实了该泄漏的真实性。 在Breach Forums的帖子中,有一个可用数据的样本。它似乎显示了可公开获得的Twitter个人资料信息,以及用于登录的电话号码和/或电子邮件地址,但它似乎并不包括密码。虽然它确实包含可用于Twitter”忘记密码”功能的电子邮件地址,但不良行为者必须单独获得该电子邮件账户的登录密码。 因此,人们担心的不是用户账户会被坏人破坏,而是这些数据可能被卖给广告商利用。 Twitter还没有发表评论。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1295681.htm 封面来源于网络,如有侵权请联系删除
认证账户被黑,威胁行为者借名人推特发送钓鱼信息
近期,威胁行为者正入侵Twitter认证帐户,他们通过发送精心编造的虚假暂停消息来试图窃取其他经过认证的用户凭据。大家应该了解认证账户的特殊性,尤其是账户标注为某名人、政治家、记者、活动家、政府或私人组织,在获得认证前Twitter就会对其进行验证,所以要获得经过验证的“蓝色徽章”,用户必须申请验证并提交证明文件,以说明他们的帐户的真实性。 由于获得蓝色徽章并不容易,这类账户就容易获得人们的信任,所以这类账户就理当成了威胁行为者的主要入侵目标。上周五,BleepingComputer 的记者Sergiu Gatlan就在Twitter DM收到了一封网络钓鱼诈骗,该钓鱼邮件称他的帐户因传播仇恨言论而被暂停:“您的帐户已被我们的自动化系统标记为不真实和不安全,传播仇恨言论违反了我们的服务条款。twitter非常重视平台的安全性,如果你没有完成身份验证过程,我们会在48小时内暂停你的帐户。” 为了测试网络钓鱼诈骗,Sergiu Gatlan访问了DM中的tinyurl.com地址,该地址将他重定向到https://twitter-safeguard-protection[.]info/appeal/。这个网站首先要求一个Twitter用户名,当进入测试账户时,它使用后端的Twitter API来检索测试账户的照片,如下所示。显示合法图片增加了网络钓鱼诈骗的合法性。 和其他网络钓鱼不同,这个网络钓鱼网站拒绝用户输入的错误密码。在输入正确密码后,它会提示输入帐户的电子邮件地址,并且假的电子邮件地址也会被拒绝,这个行为表明网络钓鱼网站正在使用 Twitter API 来检查有效的帐户信息。最后,一旦输入了正确的信息,钓鱼页面就会显示一条消息,“真实性检查已完成,您的帐户已被我们的自动系统证明是真实的”。 此时Sergiu Gatlan发现他的测试帐户的凭据已被盗,他立即将其重置为另一个帐户。但其他人可能不会意识到他们的凭据被盗,并且会发现他们在当天晚些时候或第二天已经无法再登录到他们的帐户。 这些诈骗信息会由被黑客入侵的认证账户,再发送给其他还未被入侵的认证账户,并且使用的钓鱼诈骗手法一致。很多用户,包括认证用户在Twitter上发布他们遭受网络钓鱼攻击的情况并不少见。但威胁行为者也在继续改进他们的入侵策略,使他们的攻击看起来合法,他们还会在钓鱼时增加了一种紧迫感,这导致人们会忽视一些可疑迹象。 因此,当你收到一条消息,将你引导至他们要求您提供凭据的站点,请务必花时间分析它是否存在奇怪的域名、异常的拼写错误和语法错误。为安全起见,请仅在twitter.com上使用您的Twitter凭据登录,切勿在任何其他网站上登录。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/338120.html 封面来源于网络,如有侵权请联系删除
美法院正式判处 Twitter 攻击事件幕后黑客
据外媒报道,去年夏天,美坦帕市青少年 Graham Ivan Clark控制了数个知名Twitter账号并利用它们索要了价值10万多美元的比特币。当地时间周二,他承认了这些指控并被判三年监禁。Clark在跟检察官达成的一项协议中同意服刑3年,之后则还有3年缓刑。 Clark在17岁的时候被指控策划了一场社交媒体网络攻击,一些全球最耳熟能详的名字–包括美总统拜登、前美国总统奥巴马、埃隆·马斯克、坎耶·维斯特、比尔·盖茨、沃伦·巴菲特、迈克·布隆伯格、杰夫·贝佐斯、弗洛伊德·梅威瑟、金·卡戴珊等名人及苹果、Uber等公司。 该协议允许现年18岁的Clark被判为“青少年罪犯”,这使他避免了至少长达10年的刑期。不过如果Clark违反了缓刑处罚那么他将被强制执行最低刑期。 据悉,他将在一所专为年轻人设立的州立监狱服刑。另外,他可能有资格在一个军事化的新兵训练营中服役一段时间。 希尔斯堡州检察官Andrew Warren在一份声明中说道:“Graham Clark需要对这一罪行负责,其他潜在的诈骗者需要看到后果。在这种情况下,我们能承担这些后果,同时也认识到,我们对任何孩子的目标是,只要有可能则是让他们吸取教训,而非毁掉他们的未来。” 当地时间周二下午,Clark出现在希尔斯伯勒县监狱的虚拟法庭听证会上。自被捕以来,他一直被关押在那里。他身穿红色制服,戴着医用口罩,留着平头。 Clark在回答法官Christine Marlewski提出的一系列标准问题时其声音表现得非常单调。他在法庭上认罪并放弃接受审判的权利。除此之外,他几乎没说别的。 辩诉协议的条款要求,在没有得到执法部门许可和监督的情况下,禁止Clark使用电脑。他将不得不接受有关部门对他财产的搜查并交出其控制的所有账号的密码。 Clark的辩护律师David Weisbrod则证实,当事人交出了其获得的所有加密货币。 (消息及封面来源:cnBeta)
Twitter 因违反数据保护条例被欧盟罚款 55 万美元
据报道,爱尔兰数据保护委员会(DPC)今日对Twitter处以45万欧元(约合54.7万美元)的罚款,原因是Twitter未能按照欧洲数据隐私法规《通用数据保护条例》(GDPR)的规定,及时公布并妥善记录一起数据泄露事件。 分析人士称,这一罚款决定备受关注,因为这是DPC首次依据GDPR做出的跨境罚款决定。爱尔兰DPC是谷歌和苹果等多家大型科技公司在欧盟的监管机构,目前正在调查20多起案件,涉及到Facebook、WhatsApp、谷歌、苹果和LinkedIn等公司。 此次DPC对Twitter的调查始于2019年1月,调查发现,Twitter违反了GDPR第33(1)条和第33(5)条之规定,没有及时向DPC通知违规行为,也没有充分记录违规行为。为此,DPC对Twitter处以45万欧元的行政罚款。 DPC去年1月底曾宣布,正在对Twitter的数据泄露事件发起调查。在此之前,DPC接到Twitter的通知,称发生了数据泄露事件。 GDPR规定,大多数违反个人数据的行为,必须在管制员察觉到违规行为后72小时内,通知给有关监管机构。此外,该规定还要求服务提供商记录涉及哪些数据,以及他们是如何应对安全事件的,以便相关数据主管可以检查其合规性。 而对于本事件,Twitter同时违反了上述两条规定。根据GDPR规定,违反隐私法可能会被处以最高达全球营收4%或2000万欧元的处罚,具体以数额更高者为准。 值得一提的是,受DPC调查的影响,Twitter也从中吸取了教训。今年7月,在遭遇公司历史上最严重的安全破坏事件数日后,Twitter主动向DPC报备该事件。 DPC此时宣布对Twitter的罚款决定,也正值一个关键期,即欧盟稍晚些时候将推出两部新的法规,《数字服务法案》(Digital Services Act)和《数字市场法案》(Digital Markets Act),以急速区域数字化。 上周,法国数据保护机构“国家信息与自由委员会”(CNIL)曾宣布,对谷歌处以1亿欧元(约合1.21亿美元)的罚款,原因是其搜索引擎对Cookie的管理方式不当。此外,CNI还对亚马逊处以3500万欧元的罚款,原因是未经用户同意在他们的电脑上放置了Cookie。 (消息及封面来源:新浪科技)
荷兰警方接受安全研究人员称曾“入侵”特朗普 Twitter 账号的说法
据英国广播公司(BBC)报道,荷兰检察官发现,一名黑客确实通过猜测美国唐纳德·特朗普的密码–“MAGA2020!”,成功登录了他的Twitter账号。但荷兰检察官表示不会惩罚黑客Victor Gevers,因他的行为是“道德”的。 Gevers在10月22日美国总统大选的最后阶段分享了他所说的特朗普先生账户内部的截图。但当时,白宫否认特朗普的Twitter账号被黑客攻击,而Twitter也表示没有证据。 在提到最新进展时,Twitter表示:“我们没有看到任何证据来证实这一说法,包括从今天荷兰发表的文章中。我们主动对美国指定的一批高知名度、与选举相关的Twitter账号实施了账号安全措施,其中包括联邦政府部门。” 白宫没有回应进一步评论的请求。 Gevers则表示,他对这个结果非常满意。他说:“这不仅仅是关于我的工作,而是关于所有寻找互联网漏洞的志愿者。”这位受人尊敬的网络安全研究人员说,他在10月16日对美国大选高知名度候选人的Twitter账号进行了安全测试,当时他猜中了特朗普总统的密码。 荷兰警方表示:“黑客自己发布了登录名。他后来向警方表示,他调查了密码的强度,因为如果这个Twitter账号能在总统大选前这么短的时间内被接管,涉及到重大利益。”他们补充说,他们已将调查结果发给美国当局。 Gevers曾告诉官员,他拥有实质上更多的“入侵”证据。理论上,他本来可以看到总统的所有数据,包括: 私人照片和信息 私人收藏的推文 他屏蔽了多少人 这位拥有8900万粉丝的总统账户现在是安全的。但Twitter拒绝回答BBC新闻的直接问题,包括该账户是否有额外的安全或日志,会显示未知的登录。 今年早些时候,Gevers还声称,他和其他安全研究人员在2016年使用一个密码–“yourefired”–登录了特朗普的Twitter账户,该密码在之前的数据泄露事件中与他的另一个社交网络账户相连。 (消息及封面来源:cnBeta)