Twitter内部资料被黑 Web应用安全受质疑

CNET科技资讯网7月17日国际报道 Twitter最近一次的安全漏洞跟用户无关，而是祸起萧墙，竟然是自家员工。

事情发生于Twitter产品管理总监Jason Goldman身上，黑客利用Yahoo的索取密码功能就轻松盗用了他的帐号，并顺势取得好几个网站的资料，包括其他Twitter员工的个人帐号。

这起黑客事件发生在五月，目前才刚曝光。昵称Hacker Croll的黑客从Goldman等人帐户所取得的文件资料内含许多跟该公司相关的信息与计划。

Croll本人有意把整个资料通通曝光，但TechCrunch周二已经报道这一消息，并有意把手边拿到的部分资料加以公布。

Twitter周三在博客谈到此事的影响：

“约一个月前，Twitter一位内部主管被黑客盯上，她的个人email帐号被黑，”Twitter共同创始人Biz Stone写到，“从该个人帐号中，黑客取得某些资讯，因此又可借机进入该名主管的Google Apps帐号，可一览整个Docs、Calendars资料，还有诸多Twitter内部利用Google Apps来共享的笔记、表格、点子、财务信息等公司机密。”

该起攻击发生后，Twitter进行过内部安全稽核，Stone在上述文章表示，Google Apps显然没有安全漏洞，因此Twitter还来依然持续在内部使用该服务。另一起攻击则瞄准CEO Evan Williams的老婆，也因此Williams本人的部分个人帐号也被入侵，Stone如此解释。

这已经不是Twitter第一次发生这类事件。今年1月，好几位名人帐号也同样被入侵，当时该公司宣称是“个别黑客”所为，而非钓鱼诈骗事件引发。

Web应用安全遭质疑

虽然出事，但Twiter主管表示他们对于云端与网络资料安全性依然深具信心。

“Twitter因为目前知名度大增，因此成了黑客觊觎目标，”Stone在文章中表示，“这跟Web应用是否有漏洞无关，这个教训告诉我们，养成两好安全习惯的重要性，且要设好难以破解的密码。”

Stone表示，Twitter已经跟律师磋商如何处理后续事宜中。Twitter本周才刚从Google挖角律师Alexander Macgillivray过来。

关于Yahoo帐号被盗用方面，只要你有某人的其他e-mail帐号，那要盗用Yahoo帐号并不难。Yahoo的密码索取流程有好几关，其中一个就是把密码寄到另一个登记在案的e-mail信箱中。另外，你也可以跟Yahoo说另一个信箱已经进不去（黑客可能就是采取此一路线），如此Yahoo便会要求你回答一个当初用户自己设立的秘密问题（通常是询问宠物名称）。

若回答三次错误，Yahoo会转到另一个页面，你可通过信用卡来验证你的身份，或者回头去回答更多问题。若再次回答错误达五次，帐号会暂时被冻结，24小时内无法再索取密码，但正常登入并没有问题。

部分安全专家则认为，用户不应该期待免费在线服务可享有跟企业内部系统同样的安全标准。

“这类服务都是讲究方便性，既然讲究方便，注定一定得方便访问才行。”安全专家Peter Mudge Zatko表示，“但方便存取与十分安全通常无法两全其美，这两个是完全不同的目标。”