FTC曾经指控Twitter在向用户承诺了隐私性与安全性后却出现了管理松散的问题,导致黑客轻易窃取用户账户。FTC最终于周五签署了同意令,虽然并未对Twitter罚款,但要求其改进安全系统,并在今后十年内每两年进行一次安全审查,而且不得再发表具有欺骗性的安全声明。
Twitter接受了这一处罚,但坚称没有违反法律。
FTC罗列了Twitter的安全缺陷:
- 2006年7月至2009年7月间,几乎所有的Twitter员工都能够完全访问Twitter的系统,包括重置密码,阅读用户私聊信息和非公开信息,甚至向任何Twitter用户发送信息。
- Twitter员工使用公开Twitter登录页面访问这些管理员账户,而且没有对密码强度进行控制。在出现了多次错误的密码破解后,Twitter并未封锁这些账户。
2009年4月,一名黑客利用上述漏洞使用自动密码破解工具破解了Twitter员工的管理员密码,这一过程共向Twitter的公开登录页面提交了数以千计的错误密码。在成功破解后,该黑客重置了密码,并将账户交给了其他黑客,甚至还通过奥巴马的账户发送信息:他对奥巴马的粉丝承诺每人500美元的免费汽油,但前提是要参加一项调查。
此后还发生了另外一起攻击。
Twitter去年在提交和解协议时就曾经撰写过一篇博客文章。该公司在当时的文章中表示,已经按照协议中的要求部署了很多措施。
但Twitter的安全性至今仍不能令人满意。由于对登录信息的处理存在缺陷,只需要使用一款名为FireSheep的浏览器插件即可通过Wi-Fi网络暂时劫持用户账户。
Twitter上周已经部署了更为安全的HTTPS解决方案,并承诺今后将推出更多措施。