“近期他们辨认出了一个在外部笔记中保存采用者公钥的程序恶意软件。他们已复原了该恶意软件，尚未辨认出该恶意软件被其他人泄漏或误用的迹象。但作为防范措施，请考虑更动您采用现有帐户公钥的所有伺服器公钥。”

“twitter”自曝安全可靠恶意软件，提议3.36亿采用者修正帐号公钥。资料图

当地时间5月3日晚，SNS中文网站“twitter”在其非官方帐号中发布了前述重要信息，呼吁其3.36亿采用者更动公钥。当采用者登入“twitter”看到插入的安全可靠提示信息时，可点选镜像直接重定向至“密码抹除”网页。美联社（CNN）MD224CH从而提出，倘若采用者在Facebook、银行帐户等电子帐号中采用了同样的公钥，也应尽快做出修正。

据美国全国广播子公司（CBS）3日报道，再次出现问题的是“twitter”的公钥杂凑。通常情况下，“twitter”的采用者公钥等脆弱重要信息应被“打乱”后存储在其外部伺服器上，例如，如果一名采用者以“123456”为公钥，其在“twitter”伺服器的资料库中不能显示为“123456”，而是应以某种数字与拉丁字母的乱数女团方式被存储。这种能在不外泄采用者公钥的情况下校正采用者的登入重要信息，是一类行业内的规范作法。

但“twitter”在一篇新闻稿中承认，该子公司采用了一类名叫“bcrypt”的基元演算法存储身份校正采用者公钥，但是“由于某一恶意软件”，在完成杂凑身份校正之前，采用者公钥被以纯文档方式存储起来。“twitter”方面并未明言前述“恶意软件”具体是什么。

“他们他们辨认出了那个严重错误，删掉了文档公钥，并正在采取行动避免那个严重错误悲剧重演。”“twitter”执行官信息技术官达卡比德表示。

美国著名信息技术网志中文网站Techcrunch指出，对于“twitter”这种规模的企业而言，所犯如此基础的重要网络安全可靠严重错误是非同寻常的。但这也是一个打下基础，推动采用者将帐号公钥安全可靠掌握在他们手中，采用者能选择同是校正或利用LastPass、1Password等等的帐号公钥管理开发工具，以保证即便平台再次出现安全可靠恶意软件时，他们的帐号也不能受到威胁。

*来源：势不可挡新闻

更多资料库

◈ 有人尝试在流行的 JavaScript 包中植入后门

http://t.cn/Ru1z21V

◈ Windows 10更新导致Chrome卡死 微软正在着手复原

http://t.cn/Ru1zUMO

◈ 隔屏斗法 3小时“擒”黑客

http://t.cn/Ru1z41J

◈ 研究者又辨认出8个CPU新恶意软件 英特尔、ARM等芯片受影响

http://t.cn/Ru1zq4O

（重要信息来源于网络，安华金和搜集整理）