在 Twitter 的前安全主管指责该公司网络安全管理不善的几周后,Twitter 现在已通知其用户一个错误,即在帐户密码被重置后,该错误并未关闭用户在 Android 和 iOS 上的所有活动登录会话。这个问题可能会对那些重置密码的人产生影响,因为他们认为他们的 Twitter 帐户可能存在风险,例如,可能是因为设备丢失或被盗。
假设拥有该设备的任何人都可以访问其应用程序,那么他们将可以完全访问受影响用户的 Twitter 帐户。
Twitter 在一篇博客文章中解释说,它已经了解到在用户自愿重置密码后允许“某些”帐户在多个设备上保持登录状态的错误。
Twitter表示,通常情况下,当密码重置发生时,保持用户登录到应用程序的会话令牌也会被撤销——但这并没有在移动设备上发生。然而,它指出,网络会话并未受到影响,并已适当关闭。
Twitter 解释说,该漏洞是在去年对其密码重置系统进行更改后出现的,这意味着该漏洞已存在数月而未被发现。为了解决这个问题,Twitter 现在直接通知了受影响的用户,主动让他们退出跨设备的打开会话,并提示他们重新登录。然而,该公司没有详细说明有多少人受到影响。
推特在公告中写道:“我们非常重视保护你的隐私,很遗憾发生这种情况。”它还鼓励用户定期从应用程序的设置中查看他们活跃的开放会话。
这个问题是该公司近年来发生的一系列安全事件中的最新一起,尽管它不像过去那样严重——比如上个月报告的漏洞,该漏洞暴露了至少 540 万个 Twitter 账户。在这种情况下,一个安全漏洞允许威胁行为者编译 Twitter 用户帐户的信息,然后在网络犯罪论坛上列出出售。
今年 5 月,Twitter 还被迫支付 1.5 亿美元与联邦贸易委员会达成和解,以使用用户提供的个人信息来保护他们的账户,如电子邮件和电话号码,用于广告定位。并且在 2019 年,Twitter 披露了一个错误,该错误将一些用户的位置数据共享给了合作伙伴,另一个也导致用户数据与合作伙伴共享。此外,它还面临一个问题,一名安全研究人员利用 Android 应用程序中的一个漏洞将1700 万个电话号码与 Twitter 用户帐户进行匹配。
虽然 Twitter 对其发现的漏洞和修复措施保持透明很有帮助,但在其前安全主管 Peiter “Mudge” Zatko 于 8 月提出举报人投诉后,该公司的整体网络安全问题现在正受到越来越多的审查。
Zatko 声称该公司在保护其平台方面疏忽大意,理由包括缺乏员工设备安全性、缺乏对 Twitter 源代码的保护、员工对敏感数据和 Twitter 服务的访问范围过于广泛、许多未修补的漏洞、缺乏一些存储数据的数据加密,过多的安全事件等等,以及对国家安全的威胁。
在这种情况下,即使是像本周披露的漏洞这样较小的漏洞,也可能不会被公司视为一次性失误,而是 Twitter 更广泛的安全问题的又一个例子,值得更多关注。
Twitter 透露,在Sarah Perez最初在TechCrunch上发布的密码重置后,它并没有让用户退出账户