Win8之家:Twitter周五就2009年的一系列账户被盗案与美国联邦贸易委员会(以下简称“FTC”)达成和解。该网站当时出现的安全漏洞降低了黑客窃取用户账户的难度,被盗账户中包括美国总统奥巴马的一个账户。 FTC曾经指控Twitter在向用户承诺了隐私性与安全性后却出现了管理松散的问题,导致黑客轻易窃取用户账户。FTC最终于周五签署了同意 令,虽然并未对Twitter罚款,但要求其改进安全系统,并在今后十年内每两年进行一次安全审查,而且不得再发表具有欺骗性的安全声明。 Twitter接受了这一处罚,但坚称没有违反法律。 FTC罗列了Twitter的安全缺陷: - 2006年7月至2009年7月间,几乎所有的Twitter员工都能够完全访问Twitter的系统,包括重置密码,阅读用户私聊信息和非公开信息,甚至向任何Twitter用户发送信息。 - Twitter员工使用公开Twitter登录页面访问这些管理员账户,而且没有对密码强度进行控制。在出现了多次错误的密码破解后,Twitter并未封锁这些账户。 2009年4月,一名黑客利用上述漏洞使用自动密码破解工具破解了Twitter员工的管理员密码,这一过程共向Twitter的公开登录页面 提交了数以千计的错误密码。在成功破解后,该黑客重置了密码,并将账户交给了其他黑客,甚至还通过奥巴马的账户发送信息:他对奥巴马的粉丝承诺每人500 美元的免费汽油,但前提是要参加一项调查。 此后还发生了另外一起攻击。 Twitter去年在提交和解协议时就曾经撰写过一篇博客文章。该公司在当时的文章中表示,已经按照协议中的要求部署了很多措施。 但Twitter的安全性至今仍不能令人满意。由于对登录信息的处理存在缺陷,只需要使用一款名为FireSheep的浏览器插件即可通过Wi-Fi网络暂时劫持用户账户。 Twitter上周已经部署了更为安全的HTTPS解决方案,并承诺今后将推出更多措施。 |