- 发表时间:2020-08-20 14:36
- 来源:数度域
twitter周二通知商业客户,他们的个人信息,包括电子邮件地址、电话号码和信用卡号码的最后四位数字可能已经泄露。然而,twitter表示,目前没有证据表明这种情况已经发生。
当twitter更新发送给浏览器缓存的指令以防止这种情况发生时,在ads.twitter.com或analytics.twitter.com查看计费信息的自助广告商受到了影响。
这个问题发生在2020年5月20日之前,但是twitter在6月23日才通知客户。
作为中小企业的自助广告商受到了影响。twitter在2012年推出了一项服务,允许中小企业购买并在其平台上投放广告。现在,全球200多个国家的客户都可以使用它。
有其他问题的客户可以写信给twitter的数据保护官员。
问题的根源
据bbc记者alex martin称,twitter系统未能发送json报头,该报头指定浏览器不应缓存账单信息,浏览器默认缓存I信息。
可能是泄露,但不是泄露。简要说明:twitter未能发送json报头,这是特定浏览器不应该发送的。t缓存账单信息,所以浏览器默认缓存它。那& # 39;这就是正在发生的一切。非常有限的风险简介...https://t.co/62cpkp01xg
& mdashAlexander Martin (@ alexmartin)2020年6月23日
tripwire的计算机安全研究员克雷格·杨(craig young)告诉technewsworld,很可能这个标题从未被设置,twitter在5月20日推出了一个改变来解决这个问题。
cerberus sentinel的解决方案架构副总裁chris clements告诉technewsworld:“这是一种自广告和分析平台推出以来就可能存在的缺陷。”“或者,它可能是在此后的任何时候无意中引入的。”
clements说,如果twitter不发布自己的根本原因分析,json头被省略的原因就不清楚了,但“这很可能是由于一个不经意的代码更改,在安全审查期间没有被正确捕获,而不是恶意攻击者的行为。”
他认为,目前的编码实践可能是原因。“不幸的是,许多初创企业采用的‘快速行动,打破常规’的口号意味着,防止和检测此类错误的安全最佳实践往往被忽略,而代价是客户。”
为什么延迟通知客户?
knowbe4的安全意识倡导者james mcquiggan告诉technewsworld ,[/h/
他说:“像twitter这样的大型组织,这将触发他们的事件响应团队。”“由于它涉及到客户,他们必须引入他们的法律团队、通信、c-suite等等。他们与公众沟通的速度取决于他们的企业风险计划。”
一旦twitter审查了这些问题,确定了根本原因并修复了漏洞,技术团队将向法律部门提供沟通声明以供审查,随后将召开更多会议,然后将发布信息。
克莱门茨说:“一个月似乎太长了。”尽管如此,仍有可能存在其他混淆因素,例如确定哪些客户账户可能受到了该漏洞的影响,也有可能twitter没有将用户面临的潜在风险视为足够高的优先级来发出通知。
问题的范围
他补充说:“对于敏感数据在缓存中的存储时间没有明确的限制,除非它被标记了截止日期。”
young指出,除了那些共享计算系统之外,“缺乏这种安全控制对大多数用户来说从来都不是一个相当大的威胁”,其中许多已经被配置为在会话之间清除缓存。
clements指出,缓存的任何敏感信息都将被限制在用于访问信息的本地设备上。只要没有其他人能够接触到这个设备,并且它没有被黑客攻击,数据就不会被泄露。
此外,基于设备的配置,web浏览器可以自行被清除或过期。这也可能会限制数据在本地缓存中存储的时间。
存储的敏感数据本身不会立即造成危险,窃取这些数据需要攻击者能够访问每个客户的设备clements。说。“如果一个恶意攻击者获得了twitter开发的访问权限,并需要引入这个问题,那么他将成为更有吸引力的盗窃和数据泄露目标。”
twitter的广告销售
星座研究公司的首席分析师ray wang告诉technewsworld,数据泄露的消息不会严重影响twitter的广告销售。
今年2月,twitter公布2019年第四季度的广告收入为8 . 85亿美元,同比增长12%。它在4月份提交的2020年第一季度报告称,由于流感大流行,该季度的广告总收入同比下降约27%。
不过,总的来说,这种流行病“对大多数社交网络都有好处,因为参与度提高了,花在社交网络上的时间也增加了。”
与twitter为数据安全事件道歉 相关的文章: