新浪科技讯 北京时间7月17日早间消息，据外媒报道，Twitter表示，在周三针对该公司内部工具的大规模攻击中，“没有证据”表明用户的密码被盗，不过Twitter仍在努力恢复对被锁定帐号的访问。Twitter在周四下午发布的一系列消息中分享了相关进展。 在此次攻击中，攻击者劫持了Twitter上的多个大号，包括美国前总统奥巴马、前副总统拜登、埃隆·马斯克、比尔·盖茨和坎耶·韦斯特，并发布比特币骗局。Twitter周三决定锁定多个账号，以防止进一步损失。在周四发布的Twitter消息中，关于为什么要锁定这些帐号，Twitter公布了更多细节。 Twitter表示：“出于高度谨慎，同时作为我们昨天保护用户安全的响应措施的一部分，我们锁定了所有在过去30天内尝试改密码的帐号。”不过，即使帐号被锁定，也“并不一定意味着”帐号的密码泄露。Twitter认为，实际上只有“一小部分”被锁定的帐号受到影响。 Twitter表示，正“尽快”恢复相关帐号的访问权限，但可能还需要更多时间。 尽管Twitter认为密码没有泄露，但目前尚不清楚，攻击者是否能获取相关帐号的私信消息。除锁定一些帐号以外，Twitter还在黑客攻击的几小时内，彻底禁用了所有加v帐号发布消息的功能。不过，在设置限制的情况下，加v帐号仍可以转发现有消息。 Twitter周三发布消息称，该公司的内部工具在此次攻击中被攻破。在周三晚的一条消息中，Twitter表示：“我们相信，我们探测到协同社交工程攻击。攻击成功将我们的一些员工作为目标，这些员工拥有内部系统和工具的权限。”匿名的消息人士表示，Twitter员工帮助他们获得了帐号，其中一人称，他们向Twitter员工付钱以获得帮助。(维金)     （稿源：新浪科技，封面源自网络。）

新浪科技讯 北京时间7月16日午间消息，据外媒报道，比特币骗子不会是最后一个盗取认证账户的人——我们应该保持警惕，因为还会有其他人来盗取我们的账户。 一切皆在意料之中。 2020年7月15日的黑客攻击事件，是Twitter公司历史上最严重的一次安全破坏事件。无论公司最终怎么讲述这次事件，有一点必须承认，危机早在几年前就已经开始酝酿。 从2018年春季开始，骗子已经在冒充知名加密货币爱好者伊隆·马斯克（Elon Musk）。他们使用马斯克的头像，选择一个相似的用户名，然后发布一条仿佛天上掉馅饼一般的有效邀请：借给他一些加密货币，他会还你更多。有时候，诈骗者会回复一个已经连接且经过认证的账户（例如马斯克的SpaceX），好让假账户看上去更真实。骗子还会通过僵尸网络散播虚假推文，也是为了增加真实性。 2018年的事件让我们看到三件事。第一，总会有人上当受骗，每一次有人上当受骗，都足以激发进一步诈骗；第二，Twitter对这种威胁的处理缓慢，远不及该公司一早许下的会严肃对待这些问题的承诺；第三，诈骗者的需求与Twitter最初采取的反击措施形成一场猫捉老鼠游戏，进而鼓动不法分子采取更激进的行动来制造破坏。 于是就有了今天的最大规模攻击事件。尼克·斯塔特（Nick Statt）报道说： “大型公司和个人的Twitter账户最近遭遇该平台上有史以来最大规模的黑客攻击。所有攻击都是为了推广比特币骗局，而且始作俑者似乎还从中赚到了一小笔钱。我们不知道攻击是如何发生的，也不知道Twitter自己的系统受到多大程度的损害。黑客似乎已经消停，但认证账号从东部时间下午四点开始陆续发布新的诈骗推文，一直持续两个多小时。沉默了一个多小时候，Twitter终于承认了黑客攻击时间，东部时间5点45分的时候在公司的用户支持账户上写道：‘我们已经获悉影响我们平台用户的安全事件。我们正在调查并积极采取措施应对攻击。我们会尽快向大家提供最新信息。’” 包括前总统巴拉克·奥巴马（Barack Obama），乔·拜登（Joe Biden），亚马逊首席执行官杰夫·贝佐斯（Jeff Bezos），比尔·盖茨（Bill Gates）和流行歌手坎耶·韦斯特（Kanye West）等人以及苹果和优步等科技公司的认证帐户受到黑客攻击。 但他们都是后来的事情。最早受到攻击的名人账户，是谁呢？伊隆·马斯克，毫无疑问。 黑客攻击的前几个小时内，上当受骗的人们一共向黑客送上了11.8万多美元。另外，黑客可能还访问了大量的个人直接消息。更令人不安的是，黑客攻击展开的速度和规模，还有更深层次的国家安全问题。 当然，最首要也是最显著的一个问题是，攻击的始作俑者是谁，他们是如何做到的？截至发稿时，我们还没有答案。根据安全记者约瑟夫·考克斯（Joseph Cox）的报道，地下黑客社区的成员之间分享的屏幕截图显示，有人可以访问Twitter内部用于管理账户的工具。考克斯写道： 　　“两名地下黑客社区的信源向媒体提供了一个内部控制面板的屏幕截图，据称Twitter的员工就是使用这个内部控制面板管理用户账户。一名消息人士称，Twitter的这个控制面板也用来更改某些所谓OG账户的所有权。Twitter已经删除了这些控制面板的截图，并暂停了发布这些截图的用户账户，称内容违反社区规则。” 继续揣测难免显得不负责任，但考克斯的报告至少已经说明这不是一起简单普通的黑客攻击事件。一种可能的情况是，黑客攻破了Twitter的内部工具；考克斯还提出了另一种可能，Twitter员工中有内鬼，参与了这次攻击——若果真如此，那Twitter真是年内中彩两次了。 但不管是哪种情况，Twitter对这次事件的回应带来进一步的困扰。该公司最早就此事而发布的推文基本没提到任何实质性内容，两小时后Twitter简单地表示：公司已经禁用了认证账户的发推功能，或者已经重置了他们的密码，同时公司正在努力调查攻击的根本原因。但是就在Twitter说明情况之前，许多用户已经被迫发现，他们发不出推文了。 政客、名人和国家新闻媒体这会都发不了推文倒是给Twitter省了些公关麻烦，虽然普通用户的调侃挺欢乐，但细想一下更严重的问题还在后头。Twitter，无论好坏，始终是全球最重要的通信系统之一，它的用户中有很多与紧急医疗服务机构相关。例如，伊利诺伊州林肯国家气象局在认证账户被禁言前，刚刚发布了一条龙卷风警告。那些依赖这个账号了解龙卷风后续情况的用户们，这下可能要倒霉了。 当然，Twitter禁止认证账户发言也是不得已为之。人们大概宁愿国家气象服务发不了推，也不会希望黑客把账户卖给不法分子然后后者乘机登录账户发布一些虚假信息，比如谎称龙卷费席卷了美国各大城市等等。但是用这种笨拙的方法来解决问题——禁止35.9万个认证账户中的大部分账户发布消息——反映出这次事件的影响范围之广。 然后你不由得会想，如果下一次这么干的不是贪婪的比特币骗子，而是国家级别的人物或者精神病患者，公司会采取什么样的应急措施。这次事件后，不难想象，如果有人控制了某个世界领导人的账户然后试图发动核战争，也未尝没有可能。 在这一点上，密苏里州共和党参议员乔什·霍利（Josh Hawley）在写给Twitter首席执行官杰克·多西的信中提到的内容，十分能引起共鸣。霍利说： “我担心该事件不仅仅是一系列有计划有预谋的独立黑客攻击事件，更是对Twitter自身安全性的一次成功攻击。正如你所知，你的数百万用户不仅依赖你的服务公开发布推文，也使用你的直接消息服务私下里互相交流。对你系统服务器的成功攻击将对所有用户的隐私与数据安全构成威胁。” 不过，霍利也没有说全面。这里，不仅是用户隐私和数据安全面临威胁。更重要的是，Twitter上的冒名顶替和欺诈极有可能引起现实世界中的动乱。直到今天，我们已经看到这种假设已真实发生。随着距离2020年大选只剩不到四个月时间，天知道到底会发生什么。 接下来几天，Twitter可能会调查安全事件的起因。该公司可能无法给出完全令人满意的解释。但重要的是，Twitter及时与公众分享它对这次事件所了解到的一切——以及公司日后会采取哪些措施避免这样的事情再次发生。(小白)     （稿源：新浪科技，封面源自网络。）

新浪科技讯 北京时间7月16日上午消息，当地时间15日，Twitter遭遇史上最大规模的网络攻击，数十位政商界知名人士账号被盗，黑客在他们的账户上发布了骗取比特币的推文。一家比特币追踪公司称，黑客骗取了价值至少12万美元的比特币，这些资产中超过一半已经被转移到其他账户中。 这起骗局的幕后黑手侵入了包括亚马逊首席执行官杰夫·贝索斯和特斯拉创始人埃隆·马斯克在内的部分企业高管的Twitter账号，并在这些账号上发布信息，要求Twitter用户将比特币直接转到三个账号中的其中一个上。黑客还承诺会对汇入的比特币加倍返还。在汇入账号的12万美元中，大约6.5万美元已经被转移到了其他比特币账号地址，其中一个账号在过去一直保持活跃，并在美国一家交易所注册。黑客在这起诈骗案中获得的资金约有一半来自美国，四分之一来自欧洲，其余则来自亚洲。 对资金进行追踪将帮助到调查人员，因为美国交易所通常都会对用户进行严格的身份验证，因此很可能会有账号的姓名信息。但搜寻嫌犯需要时间，并且具有挑战性，这取决于黑客们下一步如何做，也取决于他们如何套现。如果他们试图利用一个受到监管的美国交易所，那么找到他们将很容易。但如果这些嫌犯试图通过不受监管的小型交易所来套现，那么找到他们将会变得非常困难。 虽然比特币很难追踪，但已经有一些追踪公司在从事这项业务，以帮助执法部门。交易所和其他供应商也已经开始收集更多的客户信息。执法机构在过去已经多次对被盗比特币进行过成功追踪。 除了一些著名政商领袖，本次黑客还成功侵入了许多加密公司，比如双子星交易所（Gemini exchange）。 美国最大的比特币交易所Coinbase已经开始阻止用户向黑客账户汇款。Coinbase发言人埃利奥特·萨瑟斯（Elliott Suthers）说：“我们已将黑客账号列入了黑名单。“ 双子星交易所的发言人说，他们也封锁了黑客的账户。目前，随着有关这起诈骗事件的消息开始成为头条新闻，向诈骗账号汇款的速度已经放慢。 比特币是一个对诈骗犯很有吸引力的标的物，因为它可以在全球范围内使用。虽然比特币的价格在新冠病毒爆发之初有所下降，但此后又开始回升，自年初以来已上涨约30%。（樵风）     （稿源：新浪科技，封面源自网络。）

一名澳大利亚男子因从苹果公司的服务器中提取员工资料并在Twitter上发布，被判处5000澳元的罚款和18个月的观察期。据Bega地区新闻报道，24岁的Abe Crannaford周三在伊甸园当地法院出庭接受宣判，此前他在2月份对两项未经授权访问或修改受限数据的罪名表示认罪。 在2017年中和2018年初，Crannaford从这家总部位于美国的大型企业中提取了仅针对员工的受限信息。2018年1月，Crannaford在其Twitter账号上发布员工信息，并据称在GitHub上提供了该公司固件的链接，让这起黑客事件达到了高潮。 裁判官道格-迪克对他处以5000美元的罚款，然而他并没有对Crannaford进行判刑，而是给予他18个月的观察期，如果在观察期内违反了相关规定，将导致额外的5000美元罚款。 Crannaford的辩护律师Ines Chiumento辩称，苹果公司通过其赏金计划奖励寻找漏洞和bug的黑客，在某种意义上 促进了黑客的发展。检察官承认苹果公司存在悬赏计划，但称Crannaford多次入侵网站，并与他人共享受限数据，苹果公司的悬赏的概念与Crannaford的行为背道而驰。     （稿源：cnBeta，封面源自网络。）

Twitter以及Facebook旗下的WhatsApp又成了欧洲的攻击对象，围绕数据保护问题，欧洲很快就有可能会对美国科技巨头发起制裁。爱尔兰数据保护委员会称，针对Twitter数据泄露问题，5月22日确定一份草案，委员会呼吁欧盟其它国家在草案上签字同意。 委员会还说，在调查WhatsApp数据分享透明度时完成这份决定草案。按照要求，针对任何提出的制裁，Facebook服务必须发表评论，然后方便欧盟各国进行评估。 2018年5月，《通用数据保护条例》(General Data Protection Regulation，GDPR)正式生效，之后爱尔兰当局加大调查力度，但并没有给出最终决定。一些美国大型科技公司成为调查对象，包括Twitter、Facebook、谷歌、苹果，爱尔兰数据保护委员会是调查的主要倡导者。 如果发现企业严重违规，《通用数据保护条例》允许监管者处以年营收最高4%的罚款。法国监管机构之前曾向谷歌开出5000万欧元罚单，这是至今为止最大的数据保护罚单。 爱尔兰数据保护委员会还说，其它一些案件也取得进展，比如针对Facebook当地部门的尽职调查，委员会想知道Facebook是否为个人数据处理确立法律基础。     （稿源：新浪科技，封面源自网络。）

作为一款主打安全隐私的开源浏览器，Mozilla Firefox 拥有一票相当忠实的多平台用户。然而近日爆出的一个 Twitter 漏洞，却给使用该浏览器访问社交网站的用户蒙上了一层阴影。外媒指出，如果你一直通过 Firefox 来访问 Twitter，便很可能已经将非公开信息数据保存在本地缓存中。 庆幸的是，Twitter 方面表示其已经在服务器端修复了这个问题，且谷歌 Chrome 和苹果 Safari 均未受到影响。 社交巨头在接受 BetaNews 采访时称，问题与 Mozilla 如何处理 HTTP 报头数据的浏览器默认设置有关。 为避免这一问题，Twitter 方面已经实施了一项更改，以使 Mozilla Firefox 不再于缓存中存储 Twitter 数据。 不过 Twitter 并未将之归咎于 Mozilla 犯错或泄露，因此大家不必着急去批评 Firefox 。 如果你通过 Firefox 从共享或公共计算机访问 Twitter，并采取过下载数据存档、或通过 Direct Message 收发媒体文件等操作。 那么即使注销登录，这些信息仍可能被存储在浏览器的缓存中。Firefox 默认的有效期为 7 天，超时后将被自动清理。 最后，Twitter 表示已经彻底实施了一项变更，因此今后不会再在 Firefox 浏览器缓存中存储用户的个人信息。不放心的用户，建议在使用公共电脑后及时登出并清理缓存。   （稿源：cnBeta，封面源自网络。）

据外媒The Verge报道，科威特国家新闻社（KUNA）周三表示，其Twitter帐户遭到黑客攻击，并被用来散布有关美军撤出该国的虚假信息。据路透社报道，现已删除的报告指出，科威特国防部长已收到美国的一封信，信中称驻科威特美军将在三天内离开该国。 该新闻社在后续的推文中说，其“绝对否认”在其社交媒体账户上发布的报道，科威特新闻部正在调查这一问题。 在伊朗将军苏莱曼尼被杀之后，有消息称美国发出了一封信，暗示该国将撤离伊拉克，但随后五角大楼官员迅速澄清该文件是错误发送的草稿信件。 目前尚不清楚谁是制造这起黑客入侵事件的罪魁祸首。   （稿源:cnBeta，封面源自网络。）

据外媒报道，一名安全研究员日前表示，他通过利用Twitter Android应用中的一个漏洞将1700万个电话号码跟Twitter用户的账号户匹配了起来。这位名叫Ibrahim Balic的研究人员发现可以通过Twitter的联系人上传功能上传生成的完整的电话号码列表。换言之，如果用户在Twitter上上传了自己的电话号码那么平台就会获取用户数据。 Balic指出，Twitter的联系人上传功能不接受连续格式的电话号码列表，这可能就是为了阻止上面的这种匹配。然而，Balic生成了20多亿个电话号码，一个接一个，然后随机分配这些号码并通过Android应用将它们上传到Twitter上，而基于web的上传功能中不存在这个漏洞。 Balic称，在两个多月的时间里，他匹配了来自以色列、土耳其、伊朗、希腊、亚美尼亚、法国和德国的用户记录，但在Twitter于12月20日对这一漏洞做出反应之后他停止了这种行为。尽管他没有提醒Twitter注意这一漏洞，但他将许多知名Twitter用户（包括政界人士和官员）的电话号码转至WhatsApp群组中以便直接警告用户。 对此，Twitter方面表示，他们正在努力确保不让这个漏洞再次遭到利用。“在得知这个漏洞后，我们暂停了那些非法获取个人信息的账号。保护Twitter用户的隐私和安全是我们的首要任务，我们仍致力于快速阻止垃圾邮件和来自Twitter API的滥用。” 据悉，Balic此前因在2013年发现影响苹果开发中心的安全漏洞而出名。   （稿源：cnBeta，封面源自网络。）

今天早些时候，推特（Twitter）面向所有Android端推特用户发送了一封电子邮件，在确认公司已经修复Android端APP存在的严重漏洞之外，有黑客可能通过该漏洞获取了部分用户账户信息。在公司发布的详细博文中，推特表示公司目前并没有发现任何直接证据表明这些数据已经被使用，在暗网或者其他渠道上也没有披露/出售的信息。 但是作为预防措施，推特已经通过电子邮件和移动APP的方式通知用户尽快更改密码，从而确保自己的账户安全。此外该公司还向用户发布了相关说明和APP更新。 在电子邮件中写道： 我们最近修复了存在于Android端Twitter应用中的一个漏洞，该漏洞能够让不良行为者看到非公开帐户信息或控制您的帐户（即发送推文或直接消息）。在修复之前，通过将恶意代码插入Twitter应用程序受限制的存储区域等复杂过程，不良行为者可能已经可以访问来自Twitter应用程序的信息（例如，直接消息，受保护的推文，位置信息）。 我们没有证据表明恶意代码已插入到应用程序中或已利用此漏洞，但是目前我们无法百分百确认，因此我们需要格外的小心。   （稿源：cnBeta，封面源自网络。）

据外媒报道，Twitter于当地时间周一推出了一个隐私中心，以此来表明其在保护用户隐私方面还有改进的空间。Twitter隐私中心计划更清楚地说明这家社交媒体巨头正在做什么来保护用户共享给其网站的信息。Twitter还在一系列推文中指出，它正在更新条款和隐私政策，新内容将于明年1月1日开始生效。 该公司在最新发布的博客文章表示:“我们认为，公司应该对信任他们并提供个人信息的人负责，并且不仅要负责保护这些信息还要向他们解释是如何做到的。” 据悉，隐私中心被视为一个用于存放跟隐私相关的活动、公告、新隐私产品、安全事件通信等信息的家庭基地。   （稿源：cnBeta，封面源自网络。）