北京時間3月12日下午消息,Twitter周五就2009年的一系列賬戶被盜案與美國聯邦貿易委員會(以下簡稱“FTC”)達成和解。該網站當時出現的安全漏洞降低了黑客竊取用戶賬戶的難度,被盜賬戶中包括美國總統奧巴馬的一個賬戶。
FTC曾經指控Twitter在向用戶承諾了隱私性與安全性后卻出現了管理松散的問題,導致黑客輕易竊取用戶賬戶。FTC最終于周五簽署了同意令,雖然并未對Twitter罰款,但要求其改進安全系統,并在今后十年內每兩年進行一次安全審查,而且不得再發表具有欺騙性的安全聲明。
Twitter接受了這一處罰,但堅稱沒有違反法律。
FTC羅列了Twitter的安全缺陷:
- 2006年7月至2009年7月間,幾乎所有的Twitter員工都能夠完全訪問Twitter的系統,包括重置密碼,閱讀用戶私聊信息和非公開信息,甚至向任何Twitter用戶發送信息。
- Twitter員工使用公開Twitter登錄頁面訪問這些管理員賬戶,而且沒有對密碼強度進行控制。在出現了多次錯誤的密碼破解后,Twitter并未封鎖這些賬戶。
2009年4月,一名黑客利用上述漏洞使用自動密碼破解工具破解了Twitter員工的管理員密碼,這一過程共向Twitter的公開登錄頁面提交了數以千計的錯誤密碼。在成功破解后,該黑客重置了密碼,并將賬戶交給了其他黑客,甚至還通過奧巴馬的賬戶發送信息:他對奧巴馬的粉絲承諾每人500美元的免費汽油,但前提是要參加一項調查。
此后還發生了另外一起攻擊。
Twitter去年在提交和解協議時就曾經撰寫過一篇博客文章。該公司在當時的文章中表示,已經按照協議中的要求部署了很多措施。
但Twitter的安全性至今仍不能令人滿意。由于對登錄信息的處理存在缺陷,只需要使用一款名為FireSheep的瀏覽器插件即可通過Wi-Fi網絡暫時劫持用戶賬戶。
Twitter上周已經部署了更為安全的HTTPS解決方案,并承諾今后將推出更多措施。
推薦閱讀
有百度內部人員對外稱,百度瀏覽器Beta1.0的特性主要有四點,一是整合百度平臺的熱門應用,使用戶一鍵觸達;二是同時采用沙箱安全技術將用戶電腦與病毒木馬隔離;三是融合百度搜索技術的智能地址欄;四是界面設計簡潔>>>詳細閱讀
地址:http://m.sdlzkt.com/a/01/20111231/221210.html
網友點評
精彩導讀
科技快報
品牌展示