中新天华1月5比藏西县 据纽约时报1月4日早间报导,2.35万个Twitter(twitter)帐号的历史记录和用于注册登记的邮件地址已发布到一个新浪网骇客论坛。
报导称,安全可靠专家则表示,骇客能使用邮件地址试著抹除密码并控制帐号,尤其是那些倍受双因素身份验证保护的帐号。
据报导,那些历史记录可能是在2021年底基本建设的,利用了twitter控制系统中的一个安全可靠漏洞,该安全可靠漏洞允许已经拥有邮件地址或号码的内部人员找到与twitter共享资源该信息的任何帐号。那些搜寻能手动进行,以检查无穷的邮件或号码条目。
报导提及,在之前的新闻稿中,twitter则表示,他们在获知这一安全可靠漏洞后就复原了这一安全可靠漏洞,但没有说明BIGBANG10需要多久。
报导指出,虽然2.35TNUMBERETF已公布的历史记录在任何人地方都属于最大的外泄事件,但这只是twitter二十多年来一系列安全可靠大灾难中的最新一起。
申明报导表明,twitter前安全可靠顾问Peiter Zatko此前已控告twitter在个人隐私安全可靠、内容审查、不实帐号数目检验方面存在“极为严重的安全可靠漏洞”。
2022年7月,Zatko向美国债券交易委员会(SEC)、美国内务部(FTC)和内务部递交了长达84页的控告文档。他在文档中提出twitter存有的五大问题——控制系统和应用软件落伍、难以阻挡内部骇客的攻击;雇员职权纷乱、能够随便出访使用者统计数据;不实帐号数目检验业务流程存有安全可靠漏洞。
检举文档表明,twitter的50万部伺服器中,超过三分之一电子设备运行的是未升级换代的落伍应用软件,超1/4雇员的笔记本电脑上没有测试人员功能。这导致电子设备难以身份验证储存统计数据、完善安全可靠补丁。
Zatko还则表示,twitter的7000名兼职雇员中,约三分之一雇员能随便出访谢利谢和使用者统计数据,且出访过程并未受到监视。此外,多台计算机笔记型笔记本电脑中含有twitter源码的完整复本,这引致公司极容易遭到骇客攻击。(中新天华APP)