黑客获得了36个高调账户持有人的Twitter DM

2020-07-23 10:32:38

社交媒体公司Twitter周三晚些时候表示,在上周对Twitter的史诗般的妥协中,黑客窃取了36名高调账户持有人的直接信息,其中一名受影响的用户是一名来自荷兰的民选官员。该公司还表示,入侵者能够查看所有130个被劫持账户的电子邮件地址、电话号码和其他个人信息。

上周三,当世界上一些最知名的名人、政界人士和高管开始在Twitter上发布与比特币骗局有关的链接时,大众账户被接管一事浮出水面。几个小时后,Twitter官员表示,这起事件是由于黑客失去了对其内部管理系统的控制,黑客要么付钱,要么欺骗,要么胁迫一名或多名公司员工。官员们表示,随着调查的继续,他们将披露责任人可能从事的任何其他恶意活动。

我们正在与任何受影响的帐户所有者直接沟通,当我们有更新时,我们将在此共享更新。Https://t.co/8mN4NYWZ3O。

这一披露将给Twitter带来更大压力,要求其更好地保护用户。代表俄勒冈州的民主党参议员罗恩·怀登(Ron Wyden)上周在一份声明中表示,他已敦促首席执行官杰克·多尔西(Jack Dorsey)用端到端加密来保护直接信息,这将阻止Twitter和除发送者和接收者之外的任何其他人能够读取这些信息。

怀登写道:“Twitter DM仍然没有加密,这使得它们很容易受到员工滥用其内部访问公司系统的攻击,以及获得未经授权访问的黑客的攻击。”“如果黑客获得了对用户的访问权限,这次入侵可能会在未来几年产生令人惊叹的影响。”

周三更新的一篇博客文章补充说,账户劫持者能够查看与账户相关的个人信息,包括电话号码和电子邮件地址。该公司没有提到黑客还可以获得哪些其他个人信息-比如账户持有人设置了静音或屏蔽的词语或用户。

Twitter的一位女发言人拒绝提供更多信息,包括其直接消息被访问的用户的身份,或者被曝光的其他类型的个人信息。

周三的更新还说:“攻击者无法查看以前的账户密码,因为这些密码不是以纯文本存储的,也不是通过攻击中使用的工具提供的。”“以前的密码”指的是黑客更改密码之前使用的密码。更新没有提到经过加密哈希处理的密码,以及劫机者是否有能力获得密码。这位女发言人拒绝透露。

获得密码散列的黑客有时可以使用高级单词列表或暴力破解方法来有效地猜测潜在的纯文本。2018年,推特表示,它使用bcrypt,功能屏蔽了密码,这使得除了最坚定的黑客之外,所有人都无法进行这样的攻击。

Twitter尚未回答其他几个重要问题。这些问题包括协助袭击的员工是否留下了任何后门,可能会在未来允许类似的违规行为。同样没有回答的是,该公司是否已经建立了一种机制-例如要求多名员工必须提供单独的密码-以解锁管理面板。

在过去的十年里,Twitter已经发展成为特朗普总统、其他世界领导人和无数政府机构用来交流官方政策和非官方尖酸刻薄言论的渠道。在事关重大的情况下,允许攻击者冒充用户并获取他们的私人信息和信息的入侵行为引发了严重的国家安全担忧,该公司尚未解决这一问题。