RELATEED CONSULTING
免费使用
下列产品全部免费使用
服务时间:9:30-18:00
你可能遇到了下面的问题
关闭右侧工具栏
twitter为数据安全事件道歉
  • 发表时间:2020-08-20 14:36
  • 来源:数度域

twitter周二通知商业客户,他们的个人信息,包括电子邮件地址、电话号码和信用卡号码的最后四位数字可能已经泄露。然而,twitter表示,目前没有证据表明这种情况已经发生。

当twitter更新发送给浏览器缓存的指令以防止这种情况发生时,在ads.twitter.com或analytics.twitter.com查看计费信息的自助广告商受到了影响。

这个问题发生在2020年5月20日之前,但是twitter在6月23日才通知客户。

作为中小企业的自助广告商受到了影响。twitter在2012年推出了一项服务,允许中小企业购买并在其平台上投放广告。现在,全球200多个国家的客户都可以使用它。

有其他问题的客户可以写信给twitter的数据保护官员。

问题的根源

据bbc记者alex martin称,twitter系统未能发送json报头,该报头指定浏览器不应缓存账单信息,浏览器默认缓存I信息。

可能是泄露,但不是泄露。简要说明:twitter未能发送json报头,这是特定浏览器不应该发送的。t缓存账单信息,所以浏览器默认缓存它。那& # 39;这就是正在发生的一切。非常有限的风险简介...https://t.co/62cpkp01xg

& mdashAlexander Martin (@ alexmartin)2020年6月23日

tripwire的计算机安全研究员克雷格·杨(craig young)告诉technewsworld,很可能这个标题从未被设置,twitter在5月20日推出了一个改变来解决这个问题。

cerberus sentinel的解决方案架构副总裁chris clements告诉technewsworld:“这是一种自广告和分析平台推出以来就可能存在的缺陷。”“或者,它可能是在此后的任何时候无意中引入的。”

clements说,如果twitter不发布自己的根本原因分析,json头被省略的原因就不清楚了,但“这很可能是由于一个不经意的代码更改,在安全审查期间没有被正确捕获,而不是恶意攻击者的行为。”

他认为,目前的编码实践可能是原因。“不幸的是,许多初创企业采用的‘快速行动,打破常规’的口号意味着,防止和检测此类错误的安全最佳实践往往被忽略,而代价是客户。”

为什么延迟通知客户?

knowbe4的安全意识倡导者james mcquiggan告诉technewsworld ,[/h/

他说:“像twitter这样的大型组织,这将触发他们的事件响应团队。”“由于它涉及到客户,他们必须引入他们的法律团队、通信、c-suite等等。他们与公众沟通的速度取决于他们的企业风险计划。”

一旦twitter审查了这些问题,确定了根本原因并修复了漏洞,技术团队将向法律部门提供沟通声明以供审查,随后将召开更多会议,然后将发布信息。

克莱门茨说:“一个月似乎太长了。”尽管如此,仍有可能存在其他混淆因素,例如确定哪些客户账户可能受到了该漏洞的影响,也有可能twitter没有将用户面临的潜在风险视为足够高的优先级来发出通知。

问题的范围

他补充说:“对于敏感数据在缓存中的存储时间没有明确的限制,除非它被标记了截止日期。”

young指出,除了那些共享计算系统之外,“缺乏这种安全控制对大多数用户来说从来都不是一个相当大的威胁”,其中许多已经被配置为在会话之间清除缓存。

clements指出,缓存的任何敏感信息都将被限制在用于访问信息的本地设备上。只要没有其他人能够接触到这个设备,并且它没有被黑客攻击,数据就不会被泄露。

此外,基于设备的配置,web浏览器可以自行被清除或过期。这也可能会限制数据在本地缓存中存储的时间。

存储的敏感数据本身不会立即造成危险,窃取这些数据需要攻击者能够访问每个客户的设备clements。说。“如果一个恶意攻击者获得了twitter开发的访问权限,并需要引入这个问题,那么他将成为更有吸引力的盗窃和数据泄露目标。”

twitter的广告销售

星座研究公司的首席分析师ray wang告诉technewsworld,数据泄露的消息不会严重影响twitter的广告销售。

今年2月,twitter公布2019年第四季度的广告收入为8 . 85亿美元,同比增长12%。它在4月份提交的2020年第一季度报告称,由于流感大流行,该季度的广告总收入同比下降约27%。

不过,总的来说,这种流行病“对大多数社交网络都有好处,因为参与度提高了,花在社交网络上的时间也增加了。”

twitter为数据安全事件道歉 相关的文章:

  • 亚马逊为回声报的报道增加了节目
  • 通过数字建立销售团队
  • 深根分析淡化巨大的选民数据'哎呀'
  • 惠普回来了:它应该更名为康柏吗?
  • 消费者获得了寻求数据泄露损害赔偿的更多权力
  • zyme cco ted dimbero:连接通道数据点