推特表示,黑客通过其“你的推特数据”工具下载了多达8个账户的账户信息,其中可能包括DM,但这8个账户中没有一个是经过验证的用户

2020-07-18 23:22:30

周五晚上,Twitter发布了第一篇完整的博客文章,讲述了该公司历史上最大的安全漏洞后发生的事情,这一漏洞导致攻击者侵入了世界上一些最引人注目的Twitter账户-包括民主党总统候选人乔·拜登、总统巴拉克·奥巴马、特斯拉首席执行官埃隆·马斯克、微软联合创始人比尔·盖茨、坎耶·韦斯特、迈克尔·布隆伯格等等。

坏消息是:Twitter现在透露,攻击者在实施比特币诈骗时,可能确实下载了多达8个人的私人直接消息(DM),并能够看到他们攻击的每个账户的“个人信息”,包括电话号码和电子邮件地址。

这是因为Twitter已经证实,攻击者试图下载这8个人的整个“你的Twitter数据”档案,其中包含DM和其他信息。

对于多达8个涉及的Twitter账户,攻击者采取了额外的步骤,通过我们的“您的Twitter数据”工具下载了账户信息。我们正在直接联系任何我们知道这是真的账户所有者。

-Twitter支持(@TwitterSupport)2020年7月18日。

他们甚至可能有这8个人试图删除的DM,因为Twitter将DM存储在其服务器上,只要对话的任何一方仍在-我们去年2月了解到,您可以通过下载“您的Twitter数据”存档来恢复删除的DM,即使您自己删除了它们。存档还可以包括其他个人信息,如您的地址簿,以及您可能已附加到这些私人消息中的任何图像和视频。

好消息是:推特声称这8个账户中没有一个是经过验证的用户,这表明没有一个最引人注目的人的数据被下载。仍然有可能是黑客查看了他们的DM,但不,民主党总统候选人乔·拜登和其他人可能不仅仅是他们的DM被直接偷走了。

关于这8个账户的身份有很多猜测。我们只会向受影响的账户披露这一点,不过,为了解决一些猜测:这8个账户中没有一个是经过验证的账户。

-Twitter支持(@TwitterSupport)2020年7月18日。

根据推特的说法,黑客攻击了130个账户;成功地触发了密码重置,登录了其中的45个账户,并发布了推文;并且只试图下载这“最多8个”未经验证账户的数据。我们不知道他们可能扫描了多少账户以获取个人信息,也不知道他们可能只是访问或阅读了多少DM。

而对于更大一批130个账户-包括民主党总统候选人等备受瞩目的账户-推特表示,他们可能已经能够看到其他类型的个人信息。例如,Twitter还允许登录用户查看他们登录的地点和时间的位置历史记录。

Twitter此前证实,其内部员工工具被用来协助账户接管,并怀疑其员工上当了一场社会工程骗局--现在,该公司进一步明确表示,攻击者“成功操纵了少数员工,并利用他们的凭证进入了Twitter的内部系统,包括通过了我们的双因素保护。”

这与主流理论相一致,你可以在“纽约时报”令人印象深刻的报道中读到更多关于这一理论的内容。