文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
Twitter 公布了周三发生的大规模账号劫持事故的初步调查报告。Twitter 称,攻击者利用了社会工程。所谓社会工程就是操纵他人去执行某些动作泄露机密信息。攻击者成功操纵了一小部分 Twitter 雇员,使用雇员的凭证登陆内部系统,访问了只提供给内部支持团队的工具以 130 个账号为目标,对其中 45 个目标,攻击者重置了密码,登录进账号发推。攻击者还使用下载了 8 个账号的信息档案。这 8 个账号都不是认证账号。Twitter 表示它还在继续调查,正在配合执法机构,思考改进系统安全的措施。
Twitter 本周遭遇了一次影响可能深远的大规模黑客攻击,未知攻击者劫持了众多名人高管政客、知名公司和数字货币交易平台的官方账号,欺骗性的诱惑用户向其钱包地址发送比特币。入侵的首个信号是交易所币安发帖称它将参与 CryptoForHealth 活动,向社区回馈 5000 BTC。随后其他名人的账号开始发布类似的帖子。安全博客 KrebsOnSecurity 报道,很多迹象显示幕后攻击者是以前精于利用 SIM swapping 劫持社交媒体账号的人。在一个专门讨论账号劫持的论坛 OGuser,Twitter 的大规模攻击发生前一位名叫 Chaewon 的用户发广告称,花 250 美元可以改变任何 Twitter 账号的电邮地址。Chaewon 保证说,如果无效可以全额退款。KrebsOnSecurity 援引消息源称,这位臭名昭著的 SIM swapper 曾用化名 PlugWalkJoe,其真实身份是 21 岁的英国利物浦人 Joseph James Connor。他现在在西班牙,因疫情无法回国。
美国时间周三,未知黑客劫持了 Twitter 上的名人和知名公司账号,同时发起比特币骗局,以回报社区 5000 BTC 的名义欺骗用户向其钱包地址转入比特币,声称会转出双倍。被劫持的账号包括了名人 Elon Musk、Kanye West、Jeff Bezos、Michael Bloomberg、Warren Buffett、Bill Gates、Barack Obama 和 Joe Biden,知名公司 Uber 和 Apple,数字货币平台 Gemini、Binance、KuCoin、Coinbase、Litecoin 的 Charlie Lee, Tron 的孙宇晨、Bitcoin、Bitfinex、Ripple 和 CoinDesk 等等。根据 Motherboard 的报道,问题根源似乎是 Twitter 的管理面板。暂时不清楚这次攻击是否有 Twitter 雇员参与或是否是外部第三方访问了管理面板。美国共和党参议员 Josh Hawley 已经致函 Twitter CEO Jack Dorsey,要求提供此次黑客攻击的更多信息。
为了评估刚刚生效的国家安全法律,Google、Facebook 和 Twitter 暂停了来自香港的政府数据请求。在法律于 7 月 1 日生效当天,Google、和Twitter 就暂停处理来自港府的数据披露请求,Facebook 则是在周一宣布暂停处理。Google、Facebook 和 Twitter 都无法在中国大陆访问,但此前在香港未受任何限制。
Twitter 周四表示,中国加大了在该平台上散布虚假信息的努力。该公司表示,它已经发现并删除了 23750 个“高度参与”传播虚假信息的帐户。Twitter 表示,它还删除了大约 15 万个帐号,它们被专门用于点赞和转发吹捧中国的推文。Twitter 说,最近几周发现的虚假帐号距离它们的创建时间不久,而且往往不够高级,不足以让人相信它们是由真人操作。Twitter 最近删除的帐号中,没有几个拥有超过 10 名以上的关注者。许多人没有个人介绍——Twitter 用户向其他用户介绍自己的方式——有些帐号同时用俄语和中文发布推文。
Facebook CEO 扎克伯格(Mark Zuckerberg)卷入了 Twitter 与美国总统特朗普之间的争执,他接受采访时表示 Facebook 不会对政治言论进行事实核查。因为 Twitter 的做法,特朗普签署了行政令寻求废除一项保护社交媒体公司的法规。扎克伯格则尽力与这些争论拉开距离。“在这个问题上我认为我们的政策和推特不同,”扎克伯格对福克斯新闻称。这两个网站都会撤下违反其服务条款的内容,但他说,Facebook的立场“使我们和其他一些科技公司区分开来,对言论自由和观点表达有更强的保护。”虽然 Facebook 确实会给有误导性的帖子贴上标签,但不会审视政界人士的评论帖,一些议员和民主党总统竞选人拜登称这一决定帮助谎言在网上传播。
Twitter CEO Jack Dorsey 通过电子邮件告诉雇员,将永久性允许雇员在家办公,即使是在疫情结束居家隔离政策终止之后。部分需要雇员在场的工作如维护服务器,将仍然需要雇员前往其办公室。Twitter 发言人表示,从转向在家办公模式时起他们就对此有了深思熟虑。Dorsey 在邮件中表示,至少要到 9 月份公司才会重新开放办公室,商业旅行在这之前除了少数例外也将会继续取消。今年剩余时间的面对面活动也将全部停办,今年晚些时候将重新评估 2021 年的计划。
4 月 2 日,Twitter 官方博客称,Mozilla Firefox 储存缓存的方式可能导致用户的非公开信息储存在浏览器的缓存里,这意味着如果你用 Mozilla Firefox 在公用或共享计算机上访问 Twitter,采取行动如下载存档或发送接收私信,那么你登出之后这些信息可能会仍然储存在浏览器的缓存里。Twitter 称这个私信缓存问题只影响 Firefox 不影响 Safari 或 Chrome。那么这个问题是否应该怪罪于 Firefox?Mozilla 对此有不同看法,Mozilla 官方博客在 4 月 3 日回应指出是 Twitter 自己导致了这个问题。Mozilla 开发者指出,Twitter 的 Cache-Control 指令设置不正确。RFC 7234 定义了缓存工作机制,其中的关键是 Cache-Control 头文件,网站使用 Cache-Control 告诉浏览器哪些内容可安全储存在缓存里。缓存内容可加快内容访问,因此除非网站明确指出不允许浏览器会缓存大部分内容,这个机制叫 Heuristic caching(启发式缓存)。Firefox 的启发式缓存会缓存内容七天。Twitter 没有给私信的缓存加入 no-store 指令。这个问题之所以没有在其它浏览器上重现是因为当 Content-Disposition 出现的情况下这些浏览器会禁用启发式缓存。而在 Firefox 上,Content-Disposition 存在的情况下没有禁用启发式缓存。问题看起来是 Twitter 没有在 Firefox 上测试其网站的缓存行为。这其实是一种非常普遍的现象。
因新冠疫情,微博客服务 Twitter 强烈督促其全球五千名雇员在家远程工作。Twitter 博客称,它正致力于确保重要工作都可以以远程参与的方式进行,对于需要去办公室的员工,办公室对他们正常开放,它会加大办公室的清洁和消毒。由于政府限制,香港、日本和韩国的雇员必须在家远程工作。Twitter 称它是一家全球服务公司,它正努力让任何人可以在任何地方为 Twitter 工作。
去年 12 月,安全研究员 Ibrahim Balic 披露他利用一个 Twitter Android app 漏洞匹配了 1700 万用户的手机号码。Twitter 的联络人上传功能会在上传通讯录之后返回匹配到的用户数据,也就是你可以知道一个随机生成的手机号码是否属于一位真实用户。现在,Twitter 发出警告,有第三方攻击者使用其官方 API 匹配用户名和手机号码。Twitter 称,它在调查 Ibrahim Balic 披露的安全漏洞期间发现有证据显示另外第三方也在利用该 API 漏洞,攻击者使用的部分 IP 地址与国家支持的黑客有关联。Twitter 表示,这一攻击只影响在设置页启用了“Let people who have your phone number find you on Twitter”的用户,没有提供手机号码的用户也不受影响。
安全研究员 Ibrahim Balic 利用一个 Twitter Android app 漏洞匹配了 1700 万用户的手机号码。Twitter 的联络人上传功能会在上传通讯录之后返回匹配到的用户数据,也就是你可以知道一个随机生成的手机号码是否属于一位真实用户。可能是为了防止此类的随机号码生成,Twitter 不接受序列格式的通讯录上传。但这一机制显然很容易绕过,Balic 生成了超过 20 亿个手机号码,将其顺序随机化,然后使用 Twitter Android app 上传。在两个月时间里他匹配了来自以色列、土耳其、伊朗、希腊、亚美尼亚、法国和德国的用户账号。Twitter 在 12 月 20 日封掉了他的账号阻止了他的手机号码匹配。Twitter 发言人已经证实了这一漏洞,表示正致力于让这一漏洞不能再被利用。Web 端的 Twitter 上传功能没有该漏洞。
Facebook 和 Twitter 关闭了一个发表支持特朗普信息的假账号网络。Facebook 称,假账号使用了 AI 生成的照片,这些账号以高频率发表支持特朗普的帖子。Facebook 称它删除了 610 个账号,89 个 Facebook pages,156 个小组和 72 个 Instagram 账号。总共约有 5500 万账号跟随了这些账号。
Twitter 上周宣布将删除不活跃时间超过半年的用户账号,理由是没有登录的用户无法就它更新过的隐私政策表示同意。此事立即引发了一个问题:已去世的用户。如果账号没有托管,已经去世的用户显然不可能再次登录。在活跃用户反应这一问题后,Twitter 宣布搁置删除账号的计划,称在寻找到更好的方案前不会删除任何不活跃用户的账号。
此事也引发了一个形而上的问题:你是否希望你的 Twitter 账号永久保存,即使是在你去世之后?
Twitter 将删除不活跃超过半年的用户帐户,想要保留账号的用户必须在 12 月 11 日截止日期前登录。删除的账号还将包含因去世而停止发推的用户。这是 Twitter 首次大规模的删除不活跃账号。Twitter 就删除账号给出的理由是没有登录的用户无法就它更新过的隐私政策表示同意。它表示已经在向受影响的用户发去邮件警告。它没有透露有多少账号会受到影响,估计可能多达数百万。对于已去世用户的账号,Archive Team 正着手进行备份。
美国司法部指控两名前 Twitter 雇员为沙特阿拉伯从事间谍活动。他们访问了使用 Twitter 平台的异议人士的信息,他们的联系人与沙特王储 Mohammed bin Salman 有关联。这一案件凸显了外国力量利用美国社交媒体平台鉴别批评者并压制他们声音的问题,也引发了对硅谷科技公司保护异议人士和其他用户不受专制政府之害能力的质疑。两名前 Twitter 雇员之一是 Ahmad Abouammo,为美国公民,被控监视了三名用户的账号;另一位是 Ali Alzabarah 为沙特公民, 他被控在 2015 年访问了 6000 多名用户的账号,其中包括知名异议人士 Omar Abdulaziz 的账号。检方称第三个人、沙特公民 Ahmed Almutairi 充当了沙特官员和 Twitter 雇员之间的中间人,该沙特官员叫 Bader Al Asaker,领导了一个属于沙特王储的慈善组织。Abouammo 已经遭到逮捕,而 Alzabarah 和 Almutair 据信目前在沙特。Abouammo 在 Twitter 工作期间担任媒体关系经理,2014 年他与 Asaker 在伦敦见面之后开始为沙特访问用户数据,Asaker 至少向他支付了 30 万美元的报酬,送给了他一只 2 万美元的恒宝手表。Abouammo 在 2015 年离开 Twitter 加盟了亚马逊,从事营销和社交媒体工作。
Twitter CEO Jack Dorsey 通过一系列帖子宣布禁止政治广告。Dorsey 称他们认为政治消息的传达应该是挣来的而不是购买来的。如果用户决定跟随一个账户或转推,那么政治信息挣到了影响力,购买政治广告消除了用户的决定,Twitter 认为这一决定不应该受到金钱的侵蚀。对商业广告商而言互联网广告是强大而有效的。但这种广告的力量给政治带来了巨大的风险,它可能通过影响投票者进而影响到数百万人的生活。互联网政治广告给公民对话带来了全新的挑战。Dorsey 宣布 Twitter 将从 11 月 22 日起执行新的政策。他强调这与言论自由无关,而是关于付费获得影响力。
Twitter CEO Jack Dorsey 的账号上周末遭到劫持,黑客不是暴力破解 Dorsey 的密码去实现账号劫持,而是利用 SIM swapping 去控制 Dorsey 的手机号码,然后向短信发推服务的供应商 40404 发送短信,以 Dorsey 的身份在其账号上发表各种攻击性言论。SIM swapping 是美国最近几年非常流行的社交工程方法,通过欺骗移动运营商的雇员将受害者的手机号码转到黑客控制的 SIM 卡。在最新的事故发生之后,Twitter 宣布暂时关闭了短信发推功能,但没有提供何时恢复该功能的时间表。Twitter 称 Dorsey 账号被劫持的问题在于移动运营商,需要移动运营商去解决漏洞。