最近可真是社交網(wǎng)絡(luò)安全問(wèn)題大曝光的重要季節(jié)啊，LinkedIn、MySpace、Tumblr還有VK.com都相繼曝出被俄羅斯黑客攻陷，大量用戶數(shù)據(jù)在黑市倒賣，這不Twitter上周末也淪陷了，而且還是同一名黑客公布的數(shù)據(jù)。

[[167313]] 

超3200萬(wàn)Twitter賬戶密碼泄露

來(lái)自Leaked Source的消息，上周，俄羅斯社交網(wǎng)站VK.com遭入侵，1.71億用戶帳號(hào)信息泄露，泄露這些信息的黑客名為Tessa88。而Twitter這次泄露的數(shù)據(jù)信息同樣來(lái)自此人：超過(guò)3200萬(wàn)Twitter用戶的登錄信息正在暗網(wǎng)黑市出售，價(jià)格為10比特幣(超過(guò)人民幣38000元)。

泄露的信息內(nèi)容包括這超過(guò)3200萬(wàn)Twitter用戶的用戶名、郵箱地址(有些還有第二郵箱地址)，還有明文密碼。從Twitter在我們星球上的分量來(lái)看，這可是個(gè)大事件。

不過(guò)Twitter的態(tài)度卻似乎毫不在意，從先前的保持沉默，到這兩天終于發(fā)話。Twitter宣稱，調(diào)查過(guò)后發(fā)現(xiàn)，這些泄露的賬戶密碼根本就不是因?yàn)門witter近期被黑，而極有可能是之前一系列社交網(wǎng)絡(luò)被黑事件所致，另外也有部分是惡意軟件從用戶那里收集到的數(shù)據(jù)。

同時(shí)Twitter還表示，早就掌握了這些賬戶信息泄露的情況，而且也對(duì)這些用戶的密碼進(jìn)行了重置。

[[167314]]

責(zé)任似的確不在Twitter

Leaked Source也認(rèn)為，Twitter根本就沒(méi)有被入侵：

“我們有強(qiáng)有力的證據(jù)表明，Twitter并未被入侵，問(wèn)題是出在用戶自己身上。不過(guò)泄露的這些登錄信息確實(shí)有效的：我們?cè)儐?wèn)了15名用戶，他們都表示泄露的密碼是正確的。”

對(duì)此，我們還可以簡(jiǎn)單回顧一下上周Facebook CEO馬克扎克伯格的Twitter賬戶被盜事件：黑客首先獲得的其實(shí)是LinkedIn的泄露數(shù)據(jù)(你們社交網(wǎng)絡(luò)真復(fù)雜…)，并且破解了SHA1哈希過(guò)的密碼，隨后黑客再利用這些獲取到的信息，成功進(jìn)入了小扎的Twitter和Pinterest。

顯然在這個(gè)故事中，Twitter并沒(méi)有太大過(guò)錯(cuò)，問(wèn)題出在LinkedIn和小扎自己身上。Leaked Source的佐證自然也就更有可信度了。

Twitter信任與信息安全官M(fèi)ichael Coats前兩天專門就此事撰寫了一篇博客，特別表示Twitter的賬戶登錄信息是采用bcrypt安全加固過(guò)的。那些以明文方式泄露的密碼數(shù)據(jù)應(yīng)該是來(lái)自其他的來(lái)源，比如說(shuō)惡意軟件。

“我們已經(jīng)對(duì)報(bào)道中在暗網(wǎng)出售的Twitter賬戶進(jìn)行了調(diào)查，我們很自信，我們的系統(tǒng)并沒(méi)有被攻陷。”

此外，他還說(shuō)這次的數(shù)據(jù)泄露事件，對(duì)Twitter用戶而言沒(méi)什么可擔(dān)心的。如果用戶的賬戶安全存在問(wèn)題，Twitter會(huì)主動(dòng)聯(lián)系用戶，并對(duì)用戶密碼進(jìn)行重置。

[[167315]]

不過(guò)在此還是要提醒各位同學(xué)重申了千百遍的原則：密碼不要太過(guò)簡(jiǎn)單;不同的網(wǎng)站不要使用相同的密碼;如果你實(shí)在是沒(méi)法搞清楚自己的密碼，還可以考慮使用1Password之類的密碼管理工具。