上周,Twitter 遭遇了用户密码泄露事件,大约 25 万用户信息被黑客获取,Twitter 信息安全主管 Bob Lord( @boblord )在官方博客中做出了回应:
我们发现了一个持续的攻击并立即把它阻止,但是发现有 25 万用户的用户名、邮箱地址、session token 和加密 / 加盐版本的密码泄露;
对于已经泄露账户的安全问题,他说道:
我们已经重置了密码并废除了这些账户的 session token,并随即给所有涉及账户发送了提醒邮件,在用户重置密码之前将不能登录 Twitter。
最后他建议用户要使用强密码来保证信息安全并关闭浏览器的 Java 插件。
有消息称此次的密码泄露事件,是黑客利用日前暴漏的 Java“0day”漏洞攻破 Twitter 员工的个人电脑引起的,关于这个 Java 漏洞,美国国土安全局之前就已经披露了相关信息,如下是对这个漏洞的简要回顾:
1 月 10 号发布的安全漏洞信息指出 Java 7 Update 10 以及之前版本的 Java 7 含有允许任意代码在被攻击者计算机上运行的漏洞。通过这个“0day”漏洞,不小心访问存在恶意代码网页的用户可能会被安装木马程序,窃取敏感数据。对此美国国土安全局呼吁大家临时关闭 Java 浏览器插件防止被黑客攻击,Oracle 也随即表示将会发布更新补丁。
2 月 1 号国土安全局又指出之前 Oracle 的更新补丁没有达到预期的修复效果,漏洞依旧存在,Oracle 方面已经做出紧急回复。
在漏洞被有效解决之前,为了个人信息的安全,建议大家临时关闭浏览器 Java 插件。
去年在苹果上爆发 Flashback 病毒以及现在接连爆出的多个“0Day 漏洞”让大家对 Java 的安全性担忧,亲爱的 InfoQ 读者,你怎样看待 Java 的安全问题?欢迎参与讨论。
评论