最近,继Facebook统计数据外泄事件后,另一大SNS应用软件Twitter竟也曝出外泄采用者公钥。据悉,在经过外部审计工作后,Twitter在5月4日承认,他们的公钥储存机制存有错误,导致外部笔记中历史记录了一些采用者的公钥,而且公钥是以成文文件格式历史记录在Twitter的外部伺服器笔记中。也就是说,在其外部伺服器,能理所应当看到你的公钥是什么,而不是*****等字串形式。所以这些统计数据一旦外泄,数以千计的Twitter帐号几乎等同透明化。
成文公钥一直以来就是倍受非议的安全可靠措施,如今的中文网站往往会采用“基元加水”等方式储存采用者的公钥,避免公钥外泄后被骇客知悉采用者真正的公钥。
Twitter表示,它们通常透过将公钥传递给bcrypt杂凑表达式来身份验证公钥,这也是顶级的标准规范。“但在实际情况中由于存有bug,在完成身份验证处理之前公钥就被载入外部笔记,”Twitter发表声明称,“我们他们发现了这个安全漏洞,删掉了公钥,因此正在复原,以免难题悲剧重演。”
在不久前GitHub验出成文公钥时,其非官方迅速给所有受影响的采用者推送了电子邮件因此强制性让他们抹除公钥。但Twitter本次却并没有推送电子邮件提醒,据部分采用者反应,在登入Twitter时有收到一个“警示询问处”来提示修改公钥。
由此可见,Twitter对他们的系统始终十分有信心,也坚信本次的公钥外泄是十分重大的安全可靠难题,非官方也澄清道:“我们的调查显示没有其他人误用了公钥。”
应该提高个人隐私安全意识,比如在中文网站注册登记时尽量减少核对涉及财产、隐私的个人隐私,SNS平台上需要许可加载采用者信息的活动要谨慎参加。
此外,采用者还能安装360金山毒霸等安全可靠管理工具,采用地牢杀毒机能不定期查杀笔记本电脑中的恶意应用软件,为保护个人统计数据;透过360金山毒霸的全屏清扫机能不定期清扫日常生活玩游戏留下包含个人隐私的伤痕;还能迈入360金山毒霸“隐私保镳”机能,不定期隐私健康检查,全面为保护个人隐私不被外泄。