记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华美国网络安全官员敦促微软和 Twitter 加强安全实践 普及多因素认证
联邦网络安全和基础设施安全局局长Jen Easterly敦促微软和Twitter改进其安全协议,以更好地保护用户的安全。伊斯特利说,使用这些公司的多因素认证(MFA)的用户数量”令人失望”,但赞扬了苹果公司在iCloud用户中的MFA高使用率。
周一,伊斯特利在卡内基梅隆大学发表演讲,其中提到苹果是为其客户执行安全实践的榜样。据这位美国官员称,95%的苹果iCloud用户使用多因素认证,并解释说,高采用率是由于该公司决定将该功能作为默认功能。
区块链安全前传之从web3.0到创造自己的数字货币
互联网发展的三个阶段
web1.0
静态页面,内容只能供用户去阅读,类似于在网络上读报纸或者看书。
web2.0
动态互联网,实现用户之间的互动,比如等。
web2.0中厂商用免费或极低的成本吸引用户,通过获取到用户的信息来推流广告从而获得利润。
打个比方就是 厂商在一片地上种了很多草,吸引羊来吃,趁着羊吃草的功夫把羊身上的毛薅下来拿去卖钱,而羊自己并不在意这些毛,可以说是一种双向互利的方式。
web3.0
web3.0是一个很模糊的概念,随着区块链技术的发展,基于区块链的web3.0诞生。
接着用上面的例子来说,随着web2.0的发展壮大,稀缺的不再是草,而是羊毛,也就是用户身上的数据。
Azuki Twitter 账号遭黑客入侵,造成用户损失约 78 万美元
1月28日凌晨,蓝筹NFT项目Azuki Twitter账号遭到黑客入侵,发布一系列虚假“Azuki虚拟世界土地Mint”推文及链接。
目前Azuki官方已恢复其账号控制权,第一时间发布公告并删除相关推文及链接,Azuki开发团队Chiru Labs表示正在与Twitter联系并调查此次违规事件。
Web3安全研究员Fantasy表示,本次“Azuki Twitter黑客入侵”事件中的用户损失约为78万美元。
某0x3ec开头用户地址被盗75.1万枚USDC,其余用户被盗少量ETH,目前黑客已将全部USDC兑换为ETH。
2 亿 Twitter 用户的数据被公开,仅需 2 美元即可下载
近日,一个包含超过2亿Twitter用户数据的文件在一个流行的黑客论坛上发布,价格约为2美元。 目前,已经证实了泄露中列出的诸多用户数据的有效性。
自2022年7月22日以来,攻击者一直在各种在线黑客论坛和网络犯罪市场上出售和流转大量的Twitter用户资料,其中包括私人(电话号码和电子邮件地址)和公共数据。
这些数据集是在2021年利用Twitter的API漏洞创建的,该漏洞允许用户输入电子邮件地址和电话号码,以确认它们是否与Twitter ID相关。
马斯克疯狂裁员75%后,推特出现全球宕机
当地时间12月28日凌晨,上万名Twitter用户报告Twitter出现故障,用户无法访问该网站或使用其主要功能。此次故障范围波及包括美国、日本、英国在内的全球各个国家和地区,换句话说,Twitter再次爆发了全球性宕机事件。
据网络状况监测站Downdetector的数据显示,此次宕机事件发生在半夜,直接影响到手机应用和通知等功能,其中美国和亚洲的法新社记者的账户也在遇到故障之列。
一些用户反馈Twitter出现很多奇怪的错误消息,比如看到的是空白页面,或无法回复推文或关注热门话题,而另一些人是退出服务。Twitter 还向一些用户显示“速率超出限制”,这表明其服务器无法处理传入的请求。
发布时间:2022-12-30 15:36 |
阅读:158953 | 评论:0 |
标签:Twitter
埃隆·马斯克证实 Twitter 2.0 将为直接消息带来端到端加密
Hackernews 编译,转载请注明出处:
推特首席执行官埃隆·马斯克证实了在该平台上为直接消息提供端到端加密(E2EE)的计划。
这项功能是马斯克对Twitter 2.0愿景的一部分,预计将成为所谓的“万能应用”。据马斯克称,其他功能包括长篇推文和支付。
该公司的加密消息计划于2022年11月中旬首次曝光,当时移动研究人员Jane Manchun Wong发现Twitter的Android应用程序中,引用E2EE聊天会话密钥的源代码发生了变化。
Twitter 遭黑客攻击泄露 540 万户数据,影响比想象中严重
推特遭受了大规模数据泄露事件暴露了其客户的电子邮件和电话号码,预计影响到多达540多万用户。据悉,这些数据是通过利用这个流行的社交媒体平台中一个现已修复的漏洞获得的。
威胁者在流行的黑客论坛Breached Forums上提供出售被盗数据。1月,一份发表在Hacker上的报告声称发现了一个漏洞,攻击者可以利用这个漏洞通过相关的电话号码/电子邮件找到Twitter账户,即使用户在隐私选项中选择了防止这种情况。
该漏洞允许任何一方在没有任何认证的情况下,通过提交电话号码/电子邮件获得任何用户的twitter ID(这几乎等同于获得一个账户的用户名),即使用户在隐私设置中已经禁止了这一行为。
“去中心化版 Twitter”Mastodon 曝出严重漏洞
本周三晚间,安全研究员Lenin Alevski警告说社交媒体平台Mastodon的多个实例容易受到系统配置问题的影响。
过去一个月,大量Twitter用户因特斯拉创始人埃隆·马斯克接管Twitter所带来的剧变而纷纷“叛逃”到“去中心化版Twitter”——Mastodon。
然而,Alevski和Gareth Heyes等安全研究人员发现Mastodon安全成熟度很差。
例如,Alevski发现Mastodon的一个实例——infosec.exchange被上传到未能应用访问控制的存储桶。
马斯克血洗 Twitter,网络安全部门集体被裁
2022年10月底,沸沸扬扬的Twitter收购案已经落下帷幕,马斯克以440亿美元的价格买下推特。在消息公布的当天,马斯克端着一个洗手盆,以一种搞怪式的出厂方式正式入主Twitter。
但是谁也没有想到,刚刚坐上Twitter大BOSS位置的马斯克转眼就掀起一场腥风血雨,发布了前所未有的大裁员命令。所有员工在毫无准备的情况下得知,马斯克将立马辞退至多 75% 的推特员工。
根据Twitter新任首席信息安全官Lea Kissner发布的消息,原有的网络安全部门集体被裁撤。
网络犯罪分子正在利用 Twitter 的收费身份验证机制行骗
如果有一件事是黑客们喜欢利用的,那就是最新的头条新闻。在埃隆-马斯克计划对Twitter的蓝标验证状态每月收费20美元的消息传出后,网络犯罪分子正在发送钓鱼欺诈邮件,声称这是新认证程序的一部分。
马斯克最近宣布,作为Twitter的新主人,他的首要任务之一是改革验证程序。据报道,这将涉及使Twitter Blue – 每月4.99美元的可选订阅为用户提供额外的功能现在变得更加昂贵,那些已经验证的用户将有90天的时间来订阅,否则将失去他们的验证身份。
据报道,这位世界首富给了从事该项目工作的Twitter工程师11月7日之前推出该项目。
加州极端高温使 Twitter 失去了一个关键数据中心
一位公司高管在CNN获得的一份内部备忘录中警告说,加州极端高温使Twitter失去了一个关键数据中心,,其他地方的另一次故障可能导致部分用户服务进入黑暗。
Twitte和所有主要的社交媒体平台一样,依赖于数据中心,这些中心基本上是装满计算机的巨大仓库,包括服务器和存储系统。控制这些中心的温度对于确保计算机不会过热和发生故障至关重要。为了节省冷却成本,一些科技公司越来越多地将其数据中心放在气候较冷的地方;例如,Google于2011年在芬兰开设了一个数据中心,而美达公司自2013年起在瑞典北部有一个数据中心。
9月5日,由于极端天气,Twitter经历了其萨克拉门托(SMF)数据中心区域的损失。
推特前安全主管控诉存在 “令人震惊的 “的安全漏洞
据《华盛顿邮报》 8月23日报道,推特前安全主管Peiter Zatko向美国证券交易委员会(SEC)、联邦贸易委员会(FTC)和司法部提交了一封举报文件。在文件中,Zatko控诉推特在安全实践中存在“令人震惊的”漏洞,在安全、隐私和内容审核方面存在“严重缺陷”。他还认为,推特高管在联邦监管机构面前谎报安全实力。
Zatko是著名黑客,于2020年底被推特招揽担任安全部门主管。几个月后,黑客劫持了若干世界名人的推特帐户,包括乔·拜登(Joe Biden)和埃隆·马斯克(Elon Musk)。2022年1月,他被推特解雇,任职不到两年。
Twitter 前安全主管称公司机器人和安全问题上撒了谎
根据Twitter前安全主管、由传奇黑客转为网络安全专家的Peiter Zatko的证词,Twitter隐藏了疏忽的安全做法,在安全方面误导了联邦监管机构,并且未能正确估计其平台上的机器人数量。这些爆炸性的指控可能会产生巨大的后果,包括联邦罚款和特斯拉首席执行官埃隆-马斯克(Elon Musk)收购Twitter的竞标可能会解体。
Peiter Zatko在1月被Twitter解雇,并声称这是对他拒绝对该公司的漏洞保持沉默的报复。上个月,他向美国证券交易委员会(SEC)提出申诉,指责Twitter欺骗股东,并违反了它与联邦贸易委员会(FTC)达成的维护某些安全标准的协议。
因从事间谍活动,前 Twitter 员工最高可判 20 年监禁
据彭博社报道,因窃取 Twitter 用户有关的私人信息,并将数据交给沙特阿拉伯政府,美国公民艾哈迈德·阿布阿莫(Ahmad Abouammo)将最高面临 20 年的监禁。
据悉,该案件还涉及到另一位 Twitter 工程师阿尔扎巴拉(Ali Alzabarah),此人目前已逃离美国,正在被当局通缉,阿布阿莫于 2019 年 11 月 5 日被捕。
早在三年前,阿布阿莫与阿尔扎巴拉和艾哈迈德-阿尔穆泰里(Ahmed Aljbreen)三人被美国法院指控是沙特阿拉伯的“非法代理人 ”,遭到了起诉。根据旧金山联邦法院的判决可知,前者还遭到了串谋电信欺诈、伪造记录和洗钱等犯罪指控。
Twitter 证实,零日漏洞致 540 万账户数据泄露
Twitter 证实,最近泄露 540 万个账户数据的数据泄露事件是由利用零日漏洞造成的。7月底,一名威胁参与者泄露了 540 万个 Twitter 账户的数据,这些账户是通过利用Twitter 平台中现已修复的漏洞获得的。
威胁行为者在流行的黑客论坛 Breached Forums 上出售被盗数据。早在一月份,Hacker 上发布的一份报告声称发现了一个漏洞,攻击者可以利用该漏洞通过相关的电话号码/电子邮件找到 Twitter 账户,即使用户已选择在隐私选项中阻止这种情况。
官方 Twitter 账号被黑一周后仍未找回
AV-TEST 和 AV-Comparatives 是两家知名的反恶意软件评估公司。尽管久负盛名,但是前者遇到了一件尴尬的事情:官方 Twitter 账号于 7 月 25 日被黑了,但时间过去 1 周仍未恢复对其的控制。
虽然 AV-TEST 无法阻止其帐户遭到入侵,但它通过其德国帐户迅速做出回应,将该问题报告给 Twitter 支持。 然而,社交媒体的支持似乎并没有太大帮助,因为该公司在接下来的几天再次联系 Twitter,但未能成功恢复该账号。
研究人员发现近 3200 个移动应用程序泄露 Twitter API 密钥
Hackernews 编译,转载请注明出处:
研究人员发现了一份3207个应用程序的列表,其中一些应用程序可以用来获取未经授权的Twitter帐户访问权限。
研究人员说:“在3207个应用程序中,有230个应用程序泄漏了所有四个身份验证凭据,可用于完全接管其Twitter帐户,并执行任何关键/敏感操作。”
从阅读直接消息到执行任意操作,如转发、点赞和删除推文,关注任何帐户,删除关注者,访问帐户设置,甚至更改帐户头像。
访问Twitter API需要生成密钥和访问令牌,这些密钥和令牌充当应用程序的用户名和密码,并代表发出API请求的用户。
黑客以 3 万美元兜售 Twitter 数据,称涉及 540 万用户
Twitter今年早些时候曾确认其存在并修复过一个网络安全漏洞,该漏洞可导致用户的账号ID、电话号码、电子邮件被泄露。
近日, 有黑客以3万美元(约合20万人民币)兜售540万Twitter账户数据。据了解,Twitter今年早些时候曾确认其存在并修复过一个网络安全漏洞,该漏洞可导致用户的账号ID、电话号码、电子邮件被泄露。
上述漏洞在今年1月被网络安全平台Hackerone用户zhirinovskiy发现,并向Twitter作了报告。
在此漏洞下,即便用户在隐私设置中隐藏了电话号码、电子邮件、账号ID的情况下,攻击者依然可以获取到这些信息。
黑客以 30000 美元的价格提供 540 万个 Twitter 账户的详细信息
2022年初发现的一个Twitter安全漏洞被用来盗取540万用户的账户信息,黑客正在提供这套资料进行销售。与2021年8月受影响的4.78亿T-Mobile用户相比,540万用户的黑客攻击相比算是很小的。与同月晚些时候受影响的AT&T的7000万用户相比也不算大。
然而,现在出售的黑客数据来自2022年1月报告的一个漏洞。Twitter承认这是一个现实存在安全问题,并向发现者”zhirinovskiy”支付了5040美元的赏金。
美法院正式判处 Twitter 攻击事件幕后黑客
据外媒报道,去年夏天,美坦帕市青少年 Graham Ivan Clark控制了数个知名Twitter账号并利用它们索要了价值10万多美元的比特币。当地时间周二,他承认了这些指控并被判三年监禁。Clark在跟检察官达成的一项协议中同意服刑3年,之后则还有3年缓刑。
Clark在17岁的时候被指控策划了一场社交媒体网络攻击,一些全球最耳熟能详的名字–包括美总统拜登、前美国总统奥巴马、埃隆·马斯克、坎耶·维斯特、比尔·盖茨、沃伦·巴菲特、迈克·布隆伯格、杰夫·贝佐斯、弗洛伊德·梅威瑟、金·卡戴珊等名人及苹果、Uber等公司。
荷兰警方接受安全研究人员称曾“入侵”特朗普 Twitter 账号的说法
据英国广播公司(BBC)报道,荷兰检察官发现,一名黑客确实通过猜测美国唐纳德·特朗普的密码–“MAGA2020!”,成功登录了他的Twitter账号。但荷兰检察官表示不会惩罚黑客Victor Gevers,因他的行为是“道德”的。
Gevers在10月22日美国总统大选的最后阶段分享了他所说的特朗普先生账户内部的截图。但当时,白宫否认特朗普的Twitter账号被黑客攻击,而Twitter也表示没有证据。
在提到最新进展时,Twitter表示:“我们没有看到任何证据来证实这一说法,包括从今天荷兰发表的文章中。
Twitter 因违反数据保护条例被欧盟罚款 55 万美元
据报道,爱尔兰数据保护委员会(DPC)今日对Twitter处以45万欧元(约合54.7万美元)的罚款,原因是Twitter未能按照欧洲数据隐私法规《通用数据保护条例》(GDPR)的规定,及时公布并妥善记录一起数据泄露事件。
分析人士称,这一罚款决定备受关注,因为这是DPC首次依据GDPR做出的跨境罚款决定。爱尔兰DPC是谷歌和苹果等多家大型科技公司在欧盟的监管机构,目前正在调查20多起案件,涉及到Facebook、WhatsApp、谷歌、苹果和LinkedIn等公司。
FTC 对多家大型科技公司展开大范围安全调查
据外媒Axios了解,美国联邦贸易委员会(FTC)将于当地时间周一宣布,将对包括亚马逊、TikTok所有者字节跳动、Twitter、YouTube和Facebook以及其子公司WhatsApp在内的大型科技公司的隐私和数据收集行为展开新的调查。
此举正值该行业受到更广泛的审查之际,它似乎是一项广泛的调查,目的是调查大型科技公司对用户的所有了解以及它们如何利用这些数据和它们更广泛的商业计划。
FTC要求从上述平台获取大量信息和文件,另外Discord、Reddit和Snap也都在调查范围内。
Twitter 现已支持启用了硬件安全密钥的账户在移动设备上登陆
早在 2018 年,这家社交媒体巨头就已经提供了对于硬件安全密钥的支持,以代替另外两种双因素身份认证选项(短信 / 验证器 App)。尽管硬件密钥小巧得可以轻松挂在钥匙圈上,但仅限于 Web 登录的功能,也给移动设备用户造成了巨大的不便。好消息是,Twitter 周三表示,基于硬件安全密钥保护的账户,现在也可从 iPhone / Android 设备上登录。
硬件双因素认证需要用户在登录时插入密钥,即便被攻击者知晓了用户名和密码,这套方案也能够努力避免账户被黑客入侵。
然而此前的技术限制,意味着这类账户使用者只能从计算机端登录,而无法使用更加便捷的移动设备。
Twitter 任命著名黑客“Mudge”为安全主管
据路透社消息,在监管威胁加剧和严重安全漏洞的困扰下,社交媒体巨头Twitter正在任命世界上最知名的黑客之一来解决从工程失误到错误信息的一切问题。该公司周一任命Peiter Zatko(因其黑客账号Mudge而广为人知)担任新的安全主管一职,赋予他广泛的授权,对结构和做法提出改革建议。Zatko向Twitter首席执行官杰克·多西负责,预计在经过45到60天的审查后,他将接管关键安全职能的管理。
Zatko在接受专访时表示,他将审查 “信息安全、网站完整性、物理安全、平台完整性–开始触及平台的滥用和操纵–以及工程”。
Twitter 和白宫否认安全研究人员入侵特朗普账户的报道
据外媒The Verge报道,一名安全研究人员声称,他在本月早些时候入侵了美国总统唐纳德·特朗普的Twitter账户,猜测他的密码是 “maga2020!”,并可能发布了一条推文。荷兰《大众日报》(de Volkskrant)和《自由荷兰》(Vrij Nederland)杂志周四早些时候报道了这一消息,并引用了截图和对研究人员Victor Gevers的采访。
但Twitter和白宫都极力否认了这一说法。“我们没有看到任何证据来证实这一说法,包括从今天在荷兰发表的文章中,”Twitter发言人告诉The Verge。
Twitter 计划更改平台上有关黑客破解内容的政策
据报道,Twitter计划更改平台上有关黑客破解内容的政策。此前,Twitter删除了《纽约邮报》一篇关于民主党总统候选人乔·拜登之子的报道链接。这一决定引来广泛争议。Twitter当时表示,该报道违反了平台上针对黑客破解内容的政策。
Twitter称,其已经屏蔽了指向该报道的链接,因为报道中包含的一些图片为带有个人和私人信息的黑客破解内容。
根据Twitter的法务、政策和信任及安全负责人维哈雅·贾德(Vijaya Gadde)的说法,在收到“大量反馈”后,Twitter决定调整其关于黑客破解内容的政策。
修改有两点。
继引发大风波后 Twitter 宣布调整针对分享黑客内容行为的政策
据外媒报道,当地时间周四晚,Twitter宣布了一项有关发布通过黑客获取内容的修改后政策。而就在一天前,该社交媒体公司因限制《纽约邮报》一篇有关乔·拜登儿子的文章的链接而受到批评,据悉,这文章获取源头来自黑客的网络攻击。
Twitter表示,他们将不再删除含有被黑客攻击内容的帖子,除非这些帖子是由黑客自己或其他跟他们有合作的人分享出来的。该公司表示,它还将为这些推文贴上标签,这样内容仍旧会在平台上显示而不是遭到阻止。
Twitter 确认遭遇宕机事故 但没有证据表明存在攻击或安全漏洞
据外媒报道,日前,许多Twitter用户突然无法访问该服务平台。虽然老Twitter用户还记得这个社交媒体网站的“fail whale(故障的鲸鱼)”经常出现的时候,但现阶段它通常是稳定的,最近一次重大问题则是因7月份的安全漏洞而出现过。
现在Twitter的API状态页面报告指出,该公司正在“调查Twitter API的违规行为”,而据中断跟踪器Down Detector称,在美国东部时间下午5点35分左右,feed似乎已经变暗。
推特向开发者警示:私有应用密钥和账号令牌有暴露风险
近日推特向开发者发布电子邮件,警告称由于 BUG 他们的私有应用密钥和账号令牌可能已经被暴露。在这份邮件中,推特表示这些私钥和令牌可能被错误地存储在浏览器的缓存中。
在电子邮件中写道:“在修复之前,如果您使用公共或共享计算机在developer.twitter.com上查看您的开发者应用程序密钥和令牌,它们可能已经暂时存储在该计算机上的浏览器缓存中。如果在那个临时时间段内,在你之后使用同一台电脑的人知道如何访问浏览器的缓存,并且知道该寻找什么,那么他们有可能访问了你查看的密钥和令牌”。
在邮件中,推特表示在某些情况下开发者自己的推特账号凭证也可能会被曝光。
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
🙇🧎¥由自富财,长成起一↓
❤用费0款退球星,年1期效有员会
