Twitter与FTC和解奥巴马账户被盗案

taohui

3月12日下午消息，Twitter周五就2009年的一系列账户被盗案与美国联邦贸易委员会(以下简称“FTC”)达成和解。该网站当时出现的安全漏洞降低了黑客窃取用户账户的难度，被盗账户中包括美国总统奥巴马的一个账户。　　FTC曾经指控Twitter在向用户承诺了隐私性与安全性后却出现了管理松散的问题，导致黑客轻易窃取用户账户。FTC最终于周五签署了同意令，虽然并未对Twitter罚款，但要求其改进安全系统，并在今后十年内每两年进行一次安全审查，而且不得再发表具有欺骗性的安全声明。
　　Twitter接受了这一处罚，但坚称没有违反法律。
　　FTC罗列了Twitter的安全缺陷：
　　- 2006年7月至2009年7月间，几乎所有的Twitter员工都能够完全访问Twitter的系统，包括重置密码，阅读用户私聊信息和非公开信息，甚至向任何Twitter用户发送信息。
　　- Twitter员工使用公开Twitter登录页面访问这些管理员账户，而且没有对密码强度进行控制。在出现了多次错误的密码破解后，Twitter并未封锁这些账户。
　　2009年4月，一名黑客利用上述漏洞使用自动密码破解工具破解了Twitter员工的管理员密码，这一过程共向Twitter的公开登录页面提交了数以千计的错误密码。在成功破解后，该黑客重置了密码，并将账户交给了其他黑客，甚至还通过奥巴马的账户发送信息：他对奥巴马的粉丝承诺每人500美元的免费汽油，但前提是要参加一项调查。
　　此后还发生了另外一起攻击。
　　Twitter去年在提交和解协议时就曾经撰写过一篇博客文章。该公司在当时的文章中表示，已经按照协议中的要求部署了很多措施。
　　但Twitter的安全性至今仍不能令人满意。由于对登录信息的处理存在缺陷，只需要使用一款名为FireSheep的浏览器插件即可通过Wi-Fi网络暂时劫持用户账户。
　　Twitter上周已经部署了更为安全的HTTPS解决方案，并承诺今后将推出更多措施。

该贴已经同步到 taohui的微博