一位使用中文的Twitter普通用户的账号昨天被证实遭到了入侵。攻击者将他的账号进行了"调包"。所谓调包,是指将目标帐号和另一个帐号的ID 互换,但本ID的被关注者(followers)和关注者(followings)保持不变。当网友发现调包这一情况后,操作者迅速将帐号恢复。有鉴于 此,网友们提出了一些必要的防范措施。目前 Twitter 官方尚未对此事发表回应。
根据网友Jason Ng的描述,受害者是一位ID为f*****hu的网友。事情经过大致如下:
1、Twitter是允许用户修改ID的,ID修改后用户与其它用户的关系不会产生变化。
2、盗号者将自己的帐号 @f*****hu540701 与受害者 @f*****hu 的帐号对调。
3、对调ID必须有一个临时的ID作中转,这个临时的ID是 @f*****hu540705 。
4、盗号行为被发现后,盗号者准备再次对调,也就是恢复原状。
5、但在第二次对调过程中,盗号者的原帐号 @f*****hu540701 这个ID被另一位用户( @pu*****an )抢注了。
6、最后受害者的ID被恢复为 @f*****hu ,但盗号者只能用临时ID @f*****hu540705 作为帐号。
7、后来疑似 @pu*****an 注册了一个新帐号,并将 @f*****hu540701 赋予到这个ID上。
网友提供的此次"调包事件"时间线,红色字符表示该次变动的账号 图/Jason Ng
盗号者在行为被揭发后,还表示:"我是推特黑老 虎,人称'推特周正龙'。黑我想黑的,下一个就是***(人名)。""在这里先给*老师(本次的被害者)道个歉,借用了下您的推气。先给大家预告 下,2010年7月7日晚上7时7分,准时黑***。"不过2个小时以后,他的账号被 Twitter 官方封禁。
网友截屏 图/Jason Ng
对 于本次的安全危机,网友提供了一些临时的应对建议。比如:
不要使用之前没有使用过的客户端,除非之前有其他"推友'介绍过,或者你信任的 博客、论坛有介绍过。
建议有个人主页空间的网友可以自行搭建Twitter客户端。最多只需要配置一两个参数,然后上传到空间就能使用。
Twitter 提供了更为安全的Oauth登录方案。使用这种方式第三方就无法获取你的Twitter密码。美中不足之处是Oauth验证时需要打开 twitter.com,这一点对国内用户可能存在难度。
Twitter 以电子邮箱地址和用户名作为登录凭据,但是用户名可以随意修改,这在Web2.0服务中其实并不多见。以前攻击者在获取 Twitter 账号密码后,一般都是发送病毒消息或者其他形式的"捣乱",像本次这样的调换用户名的事件还是首次被公开,应该引起用户和 Twitter 的高度重视。
没有评论:
发表评论