开元周游
德国频道
查看: 753|回复: 0
打印 上一主题 下一主题

[互联网] Twitter与FTC和解奥巴马账户被盗案

[复制链接]
跳转到指定楼层
1#
发表于 12.3.2011 14:00:36 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
即时机票
3月12日下午消息,Twitter周五就2009年的一系列账户被盗案与美国联邦贸易委员会(以下简称“FTC”)达成和解。该网站当时出现的安全漏洞降低了黑客窃取用户账户的难度,被盗账户中包括美国总统奥巴马的一个账户。  FTC曾经指控Twitter在向用户承诺了隐私性与安全性后却出现了管理松散的问题,导致黑客轻易窃取用户账户。FTC最终于周五签署了同意令,虽然并未对Twitter罚款,但要求其改进安全系统,并在今后十年内每两年进行一次安全审查,而且不得再发表具有欺骗性的安全声明。
  Twitter接受了这一处罚,但坚称没有违反法律。
  FTC罗列了Twitter的安全缺陷:
  - 2006年7月至2009年7月间,几乎所有的Twitter员工都能够完全访问Twitter的系统,包括重置密码,阅读用户私聊信息和非公开信息,甚至向任何Twitter用户发送信息。
  - Twitter员工使用公开Twitter登录页面访问这些管理员账户,而且没有对密码强度进行控制。在出现了多次错误的密码破解后,Twitter并未封锁这些账户。
  2009年4月,一名黑客利用上述漏洞使用自动密码破解工具破解了Twitter员工的管理员密码,这一过程共向Twitter的公开登录页面提交了数以千计的错误密码。在成功破解后,该黑客重置了密码,并将账户交给了其他黑客,甚至还通过奥巴马的账户发送信息:他对奥巴马的粉丝承诺每人500美元的免费汽油,但前提是要参加一项调查。
  此后还发生了另外一起攻击。
  Twitter去年在提交和解协议时就曾经撰写过一篇博客文章。该公司在当时的文章中表示,已经按照协议中的要求部署了很多措施。
  但Twitter的安全性至今仍不能令人满意。由于对登录信息的处理存在缺陷,只需要使用一款名为FireSheep的浏览器插件即可通过Wi-Fi网络暂时劫持用户账户。
  Twitter上周已经部署了更为安全的HTTPS解决方案,并承诺今后将推出更多措施。

该贴已经同步到 taohui的微博
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

站点信息

站点统计| 举报| Archiver| 手机版| 小黑屋

Powered by Discuz! X3.2 © 2001-2014 Comsenz Inc.

GMT+1, 14.11.2024 03:15

关于我们|Apps

() 开元网

快速回复 返回顶部 返回列表