一位使用中文的Twitter普通用户的账号昨天被证实遭到了入侵。攻击者将他的账号进行了“调包”。所谓调包,是指将目标帐号和另一个帐号的ID互换,但本ID的被关注者(followers)和关注者(followings)保持不变。当网友发现调包这一情况后,操作者迅速将帐号恢复。有鉴于此,网友们提出了一些必要的防范措施。 根据网友Jason Ng的描述,受害者是一位ID为f*****hu的网友。事情经过大致如下: 1、Twitter是允许用户修改ID的,ID修改后用户与其它用户的关系不会产生变化。 2、盗号者将自己的帐号 @f*****hu540701 与受害者 @f*****hu 的帐号对调。 3、对调ID必须有一个临时的ID作中转,这个临时的ID是 @f*****hu540705 。 4、盗号行为被发现后,盗号者准备再次对调,也就是恢复原状。 5、但在第二次对调过程中,盗号者的原帐号 @f*****hu540701 这个ID被另一位用户( @pu*****an )抢注了。 6、最后受害者的ID被恢复为 @f*****hu ,但盗号者只能用临时ID @f*****hu540705 作为帐号。 7、后来疑似 @pu*****an 注册了一个新帐号,并将 @f*****hu540701 赋予到这个ID上。 目前 Twitter 官方尚未对此事发表回应。
网友提供的此次“调包事件”时间线,红色字符表示该次变动的账号 盗号者在行为被揭发后,还表示:“我是推特黑老 虎,人称‘推特周正龙’。黑我想黑的,下一个就是***(人名)。”“在这里先给*老师(本次的被害者)道个歉,借用了下您的推气。先给大家预告 下,2010年7月7日晚上7时7分,准时黑***。”不过2个小时以后,他的账号被 Twitter 官方封禁。
网友截屏 对于本次的安全危机,网友提供了一些临时的应对建议。比如: 不要使用之前没有使用过的客户端,除非之前有其他“推友‘介绍过,或者你信任的 博客、论坛有介绍过。 建议有个人主页空间的网友可以自行搭建Twitter客户端。最多只需要配置一两个参数,然后上传到空间就能使用。 Twitter 提供了更为安全的Oauth登录方案。使用这种方式第三方就无法获取你的Twitter密码。美中不足之处是Oauth验证时需要打开 twitter.com,这一点对国内用户可能存在难度。 以前攻击者在获取 Twitter 账号密码后,一般都是发送病毒消息或者其他形式的”捣乱“,像本次这样的调换用户名的事件还是首次被公开,应该引起用户和 Twitter 的高度重视。 本站文章部分内容转载自互联网,供读者交流和学习,如有涉及作者版权问题请及时与我们联系,以便更正或删除。感谢所有提供信息材料的网站,并欢迎各类媒体与我们进行文章共享合作。
|
||||||
