Kepotx
2018-05-04 13:11:49 UTC
昨天,Twitter 宣布,他們最近發現了一個錯誤,該錯誤在內部日誌中存儲了未公開的密碼。最近,Github也有一個類似錯誤。在這兩種情況下,他們都聲稱沒有人可以訪問這些文件。
Twitter:
我們已經修復了該錯誤,我們的調查沒有發現被破壞或濫用的跡象。再次。
同樣,儘管我們沒有理由相信密碼信息曾經離開過Twitter系統或被任何人濫用,但是您可以採取一些步驟來幫助我們保持您的身份帳戶安全:
GitHub:
該公司表示,純文本密碼僅向少數訪問這些日誌的GitHub員工公開。該公司表示,沒有其他GitHub用戶看到用戶的明文密碼。
GitHub表示,它在例行審核期間發現了錯誤,並明確表示其服務器未被黑客入侵。
請注意,GitHub並未受到任何形式的黑客攻擊或破壞。
Twitter和GitHub如何確保他們沒有遭到任何形式的黑客入侵或入侵?正在破壞服務器並讀取/複製文件的人是否總是留下痕跡?
Twitter的聲明實際上“沒有顯示出違反的跡象”,這意味著如果有人在那裡,則沒有任何跡象(這可以從一堆不同的日誌源中得出,這些日誌源查看與該計算機之間的連接,用戶有權訪問機器,等等)。
他們沒有聲明他們確定自己沒有被黑客入侵。他們說,他們沒有被黑客入侵的證據,但是缺少證據並不意味著沒有被黑客入侵-他們非常明智地聲稱自己沒有被黑客入侵。
關於此問題的最新文章:[“不可能證明您的筆記本電腦未被黑客入侵。”](https://theintercept.com/2018/04/28/computer-malware-tampering/)
在這裡,“被盜”甚至不是主要的風險類別。某些具有合法訪問權限的Twitter員工可以完全未經任何未經授權的滲透而竊取這些內容。實際上,幾乎可以肯定這是一開始就發現的。
您能否指出這些消息的哪些部分向您表明,他們“ **確定**”密碼未受到破壞?
正如Anders在他的良好回答中所說,@Bakuriu表示GitHub的詞彙非常明確,但Twitter的不確定性要高得多。也許我不應該在“ **確定**”上過分強調
日誌文件的內容可能會意外傳播。我曾經觀察到在我(外部用戶)打開的票證中,票證系統中兩個支持者之間交換的日誌文件摘要。這些代碼片段是在我遇到問題的時候寫的,但是其中包含許多與其他用戶有關的日誌條目,包括個人身份,明文密碼,明文安全性問題和答案以及用戶之間的關係(是)。有了這些信息,我本可以撥打一個電話號碼,詢問一個特定的名字,然後告訴他們老闆最喜歡的電影是什麼。。。
懷疑論者。SE回答:這都是毫無意義的語法BS。
*“ Twitter和GitHub如何確保它們未被黑客入侵?” *我總是覺得這些問題很有趣。@Kepotx,如何確保您現在不在夢中?
@AndréParamés通過適當使用TPM(例如Qubes的Anti-Evil Maid),可以緩解他們在其中提到的每個問題。
您的問題來自錯誤的前提。即使他們確定自己已經被黑客入侵,也不會公開承認。
因為他們不會透露自己的內部經歷,所以我們只能猜測。但是對於一個假設的場景:假設您將密碼數據洩漏到系統上的日誌文件中,該文件仍然能夠攔截密碼。系統上的任何攻擊者本來都可以在沒有洩漏的情況下對系統進行黑客攻擊,因此洩漏很醜陋,但只要沒有攻擊者,洩漏就不會增加太多危險;如果存在攻擊者,則無論如何他們都具有太多訪問權限。
@MaskedMan-我堅決不同意你的主張。雖然其他一些組織可能會嘗試隱藏已知的黑客行為(*咳嗽* Uber *咳嗽*),但Twitter和Github都非常清楚負責任公開的重要性。您可以肯定他們在這裡是誠實的:是的,他們倆都發現了問題。不,他們不相信任何數據已洩漏;不買,他們不確定,因此您應該更改密碼。最終,幾乎不公開信息總是會咬你(隨著GDPR的生效,實際上任何人都被掩蓋了駭客的攻擊會非常困難)。
@Spudley聽起來您在*同意*我的主張,即使您另有說明。您似乎暗示,只有在被捕獲時,不公開才會咬住它們,並且發生這種情況的可能性很小,或者在被捕獲之前需要花很多時間,那麼就不要透露它們被黑了實際上是一件好事。商業意識。這都是關於風險與回報的關係。
@MaskedMan不,我真的不同意您的意見。風險/報酬論點失敗了,因為風險巨大(GDPR下可能的罰款令人垂涎),並且持續不斷(通過掩蓋駭客行為,您給自己帶來了一個永久性的問題,可以隨時發現該問題)。您也很容易受到任何知道的人的敲詐,這意味著黑客黑了您的壞人現在有了另一種攻擊途徑。任何經過深思熟慮的人都會理解,被黑客入侵後唯一的真實選擇就是全面披露。這可能會很痛苦且令人尷尬,但替代方法卻更糟
-1
所謂的勒索也不用擔心。如果黑客打電話給您說“如果您不付款,我們將向公眾披露該黑客”,您可以要求他們進行威脅。然後,如果他們足夠愚蠢而實際上可以這樣做,則您可以輕鬆地扮演受害者的角色,並聲稱自己在道德上有製高點。換句話說,您可以使用“隱藏技巧”來*提高*您的聲譽。
如果您的系統包含任何歐洲公民的詳細信息,那麼@MaskedMan GDPR *在美國*適用。它的執行力可能較差,但仍然適用。您也沒有掌握這些東西會很快失去控制的螺旋度,以及變得容易。無論如何,從它的聲音來看,我們將不得不同意不同意。我沒有時間繼續爭論這個問題。
@Spudley GPDR與我提出的觀點並沒有真正的關係。不管怎麼說,我是一個黑客,現在他說我在2015年入侵了Facebook。您認為公眾的同情心會在哪裡?另外,另一個有效的技巧是,如果您被方式A駭入,您只想被方式B駭入。這將為您帶來一些布朗尼積分,並且沒人會費心調查其他事情是否還在發生。這與我懷疑Twitter和Github在這裡所做的接近。
您還將使這種hack聲音變得比必要的更具戲劇性。公眾的關注範圍每天都在縮短,在幾個月(甚至幾週)內,沒有人會擔心這種黑客攻擊,他們會安全地躲過雷達。幾年前發現Heartbleed漏洞後,便產生了巨大的歌舞。如果今天有人提出一些其他詳細信息,那麼將有多少人關心?不透露任何不必要的信息在商業上具有完美的意義。由於擔心未來的不確定性和可能性,今天破壞您的業務只是愚蠢的做法。