超3200万Twitter账户密码泄露，Twitter表示“不能怪我”!
2016-06-13 09:11:00   来源：来源：Freebuf   评论：0 点击：

最近可真是社交网络安全问题大曝光的重要季节啊，LinkedIn、MySpace、Tumblr还有VK.com都相继曝出被俄罗斯黑客攻陷，大量用户数据在黑市倒卖，这不Twitter上周末也沦陷了，而且还是同一名黑客公布的数据。

超3200万Twitter账户密码泄露

来自Leaked Source的消息，上周，俄罗斯社交网站VK.com遭入侵，1.71亿用户帐号信息泄露，泄露这些信息的黑客名为Tessa88。而Twitter这次泄露的数据信息同样来自此人：超过3200万Twitter用户的登录信息正在暗网黑市出售，价格为10比特币(超过人民币38000元)。

泄露的信息内容包括这超过3200万Twitter用户的用户名、邮箱地址(有些还有第二邮箱地址)，还有明文密码。从Twitter在我们星球上的分量来看，这可是个大事件。

不过Twitter的态度却似乎毫不在意，从先前的保持沉默，到这两天终于发话。Twitter宣称，调查过后发现，这些泄露的账户密码根本就不是因为Twitter近期被黑，而极有可能是之前一系列社交网络被黑事件所致，另外也有部分是恶意软件从用户那里收集到的数据。

同时Twitter还表示，早就掌握了这些账户信息泄露的情况，而且也对这些用户的密码进行了重置。

责任似的确不在Twitter

Leaked Source也认为，Twitter根本就没有被入侵：

“我们有强有力的证据表明，Twitter并未被入侵，问题是出在用户自己身上。不过泄露的这些登录信息确实有效的：我们询问了15名用户，他们都表示泄露的密码是正确的。”

对此，我们还可以简单回顾一下上周Facebook CEO马克扎克伯格的Twitter账户被盗事件：黑客首先获得的其实是LinkedIn的泄露数据(你们社交网络真复杂…)，并且破解了SHA1哈希过的密码，随后黑客再利用这些获取到的信息，成功进入了小扎的Twitter和Pinterest。

显然在这个故事中，Twitter并没有太大过错，问题出在LinkedIn和小扎自己身上。Leaked Source的佐证自然也就更有可信度了。

Twitter信任与信息安全官Michael Coats前两天专门就此事撰写了一篇博客，特别表示Twitter的账户登录信息是采用bcrypt安全加固过的。那些以明文方式泄露的密码数据应该是来自其他的来源，比如说恶意软件。

“我们已经对报道中在暗网出售的Twitter账户进行了调查，我们很自信，我们的系统并没有被攻陷。”

此外，他还说这次的数据泄露事件，对Twitter用户而言没什么可担心的。如果用户的账户安全存在问题，Twitter会主动联系用户，并对用户密码进行重置。

不过在此还是要提醒各位同学重申了千百遍的原则：密码不要太过简单;不同的网站不要使用相同的密码;如果你实在是没法搞清楚自己的密码，还可以考虑使用1Password之类的密码管理工具。

【编辑推荐】