最近可真是社交网络安全问题大曝光的重要季节啊,LinkedIn、MySpace、Tumblr还有VK.com都相继曝出被俄罗斯黑客攻陷,大量用户数据在黑市倒卖,这不Twitter上周末也沦陷了,而且还是同一名黑客公布的数据。
超3200万Twitter账户密码泄露
来自Leaked Source的消息,上周,俄罗斯社交网站VK.com遭入侵,1.71亿用户帐号信息泄露,泄露这些信息的黑客名为Tessa88。而Twitter这次泄露的数据信息同样来自此人:超过3200万Twitter用户的登录信息正在暗网黑市出售,价格为10比特币(超过人民币38000元)。
泄露的信息内容包括这超过3200万Twitter用户的用户名、邮箱地址(有些还有第二邮箱地址),还有明文密码。从Twitter在我们星球上的分量来看,这可是个大事件。
不过Twitter的态度却似乎毫不在意,从先前的保持沉默,到这两天终于发话。Twitter宣称,调查过后发现,这些泄露的账户密码根本就不是因为Twitter近期被黑,而极有可能是之前一系列社交网络被黑事件所致,另外也有部分是恶意软件从用户那里收集到的数据。
同时Twitter还表示,早就掌握了这些账户信息泄露的情况,而且也对这些用户的密码进行了重置。
责任似的确不在Twitter
Leaked Source也认为,Twitter根本就没有被入侵:
“我们有强有力的证据表明,Twitter并未被入侵,问题是出在用户自己身上。不过泄露的这些登录信息确实有效的:我们询问了15名用户,他们都表示泄露的密码是正确的。”
对此,我们还可以简单回顾一下上周Facebook CEO马克扎克伯格的Twitter账户被盗事件:黑客首先获得的其实是LinkedIn的泄露数据(你们社交网络真复杂…),并且破解了SHA1哈希过的密码,随后黑客再利用这些获取到的信息,成功进入了小扎的Twitter和Pinterest。
显然在这个故事中,Twitter并没有太大过错,问题出在LinkedIn和小扎自己身上。Leaked Source的佐证自然也就更有可信度了。
Twitter信任与信息安全官Michael Coats前两天专门就此事撰写了一篇博客,特别表示Twitter的账户登录信息是采用bcrypt安全加固过的。那些以明文方式泄露的密码数据应该是来自其他的来源,比如说恶意软件。
“我们已经对报道中在暗网出售的Twitter账户进行了调查,我们很自信,我们的系统并没有被攻陷。”
此外,他还说这次的数据泄露事件,对Twitter用户而言没什么可担心的。如果用户的账户安全存在问题,Twitter会主动联系用户,并对用户密码进行重置。
不过在此还是要提醒各位同学重申了千百遍的原则:密码不要太过简单;不同的网站不要使用相同的密码;如果你实在是没法搞清楚自己的密码,还可以考虑使用1Password之类的密码管理工具。