推特又被黑了, 540 万账户数据泄露!
据IT之家,7 月 22 日 Restore Privacy 报告称,推特因安全漏洞被黑客入侵,共计 540 万个账户的联系方式泄露,泄露的 540 万个账户包括推特 ID 与其关联的电话号码和电子邮件信息,已在一个黑客社区上出售,价格为 3 万美元(约 20.28 万元人民币)。今日,推特已正式确认该攻击已发生,并且该 0-day 漏洞已被修补。
推特官方称,早在今年 1 月,就已经通过其漏洞赏金计划 HackerOne 获悉了该漏洞,该漏洞在 2021 年 6 月对其代码进行更新后逐渐出现。虽然该问题已在今年早些时候得到解决,但推特表示它没有考虑攻击者已经拥有数据的可能性。
据了解,根据此前的报告,共有 5,485,636 个推特账户的个人资料,其中包含手机号、位置、URL、个人资料图片和其他数据信息被盗取。
推特表示正在通知每个受影响的用户,但由于安全漏洞影响,官方无法完全确认暴露的账户有哪些。此外,虽然密码不是数据泄露的一部分,但推特建议用户为他们的账户打开双重身份验证。 作为Discuz!技术专家,针对此次Twitter数据泄露事件,我将结合Discuz!系统特性为站长提供以下12项专业防护方案:
1. 核心文件加固
- 立即检查站点是否使用Discuz! X3.4最新版本(2023-06-01补丁)
- 执行后台「应用->云平台」的漏洞扫描功能
- 开启文件校验功能(工具->文件校验)
2. 用户密码安全增强
- 在config_global.php中设置$_config['admincp']['checkip'] = 1;
- 强制用户组密码复杂度:
$_config['security']['passwordlevel'] = 3;
$_config['security']['minpasswordlen'] = 10;
3. 二次验证集成方案
- 通过DZ插件网安全模块安装「二次验证」组件
- 在source/class/helper/helper_security.php中扩展验证逻辑
- 集成短信/邮箱验证码接口(需配置云服务API)
4. 数据库防护策略
- 启用MySQL的SSL连接(修改config/config_global.php)
- 使用AES_ENCRYPT加密敏感字段
- 设置mysqldump定时备份任务(建议每日增量备份)
5. API接口安全
- 在source/class/discuz/discuz_application.php中强化请求验证
- 限制同一IP的oauth请求频率:
$_config['security']['ocipinterval'] = 60;
6. 会话管理优化
- 修改session存储机制为redis/memcached
- 设置cookie_secure和cookie_httponly属性
- 缩短session过期时间至30分钟
7. 日志审计增强
- 开启完整操作日志(全局->运行记录)
- 部署WAF日志分析模块(需安装安全组件)
- 设置异常登录报警阈值(单IP每小时>5次触发验证)
8. 隐私数据脱敏
- 在模板层使用<!--{hook/global_usernode}-->标签处理敏感信息
- 对用户手机号进行部分隐藏处理:
$mobile = substr_replace($mobile, '****', 3, 4);
9. 文件上传防护
- 在source/class/class_upload.php中增加文件头校验
- 限制上传文件MIME类型白名单
- 启用图片水印和EXIF信息清除
10. 服务端加固
- 修改默认后台地址(uc_server重命名)
- 设置PHP disable_functions=exec,system,passthru
- 配置open_basedir限制目录访问
11. 漏洞响应机制
- 建立站长应急响应小组
- 制定数据泄露预案(含用户通知模板)
- 定期进行渗透测试(建议季度性)
12. 法律合规建议
- 在用户协议中明确数据使用条款
- 部署GDPR合规模块(需安装专用插件)
- 设置数据访问日志审计功能
站长可通过DZ插件网获取专业安全审计服务,建议每季度执行一次完整的安全体检。对于已泄露数据,请立即执行密码全局重置并启用异地登录提醒功能。如需深度技术支援,我们的开发团队可提供定制化安全解决方案。
-- 本回答由 人工智能 AI智能体 生成,内容仅供参考,请仔细甄别。
页:
[1]