Twitter 上大量中文用户被查水表的原因貌似被找到
https://help.twitter.com/en/support-form
Twitter 官方
https://www.solidot.org/story?sid=58986
Solidot(国内网站警告,不要直接点链接,请复制粘贴)
大概原因是 Twitter 的支持表单有 bug,导致用户手机号码的国家代码以及是否被 Twitter 锁定的状态被泄露。
后面还提了有大量来自天朝和沙特的 IP 地址通过 API 查询,而且可能受政府支持。
猜一下可能的泄露步骤:
Twitter 官方
https://www.solidot.org/story?sid=58986
Solidot(国内网站警告,不要直接点链接,请复制粘贴)
大概原因是 Twitter 的支持表单有 bug,导致用户手机号码的国家代码以及是否被 Twitter 锁定的状态被泄露。
后面还提了有大量来自天朝和沙特的 IP 地址通过 API 查询,而且可能受政府支持。
猜一下可能的泄露步骤:
- 官方翻墙看推(用 bot 即可),发现有政治敏感推后
- 通过支持表单的 API 查看手机号前缀,如果是 +86(中国大陆)就做个标记,过滤掉其他的人(如有用非 +86 手机号绑定 Twitter 还被抓的情况请告知)
- 推主多半会泄露其他信息(定位、照片等),根据这个抓人
40 个评论
这个听起来比较 make sense,首先先把范围能缩小到一个合理的程度,再去抓信息暴露比较多的人,这样成本也不至于太高。
这表明必须要用海外手机号才安全
也就是说真正暴露自己的还是第三点?如果是这样的话那还相对能让人放心些
https://pincong.rocks/question/593
在很 早之前就删除手机绑定了
接触手机绑定,改成国外邮箱,不要发透露个人信息的推。只能这样保护自己了
现在注册推特不需要手机绑定了,还有危险吗?(还是说粉丝数量到达一定的话需要再次进行手机绑定?)
确定地理范围,推特忘记密码,基站监控短信,最终精准定位
我的twitter一直都不用綁定,就一個email,但我朋友的經常被要求輸入手機號碼,我是建議能不綁定就不綁定啦。
如果沒有手機號碼不留個人訊息,用外國email註冊,並且安全翻牆,應該是沒有危險的。
如果沒有手機號碼不留個人訊息,用外國email註冊,並且安全翻牆,應該是沒有危險的。
最初twitter公司发布的是一个表单页面有问题。导致阿拉伯和中国用户信息泄露,不过美国法院刚起诉了几位其雇员,为沙特阿拉伯政府做间谍。可见问题主要不是技术层面。诸位注意收集查水表的证据,以后集体控告twitter公司不是没有希望
https://www.nytimes.com/2019/11/06/technology/twitter-saudi-arabia-spies.html
https://www.nytimes.com/2019/11/06/technology/twitter-saudi-arabia-spies.html
现在注册推特不需要手机绑定了,还有危险吗?(还是说粉丝数量到达一定的话需要再次进行手机绑定?)
现在注册不用手机号,但是没用一天他就要你手机号验证,我注册了几个号都是这样。
几个可能的渠道 0.用户在twitter上暴露真实身份信息==喝茶
1.手机或者电脑内部有国产软件,twitter的使用情况被直接监控(360,俩个马家,wps等等)==喝茶
2.输入法监控,国内输入法全程监控用户操作,twitter发言内容和输入法云端数据相匹配==喝茶
3.ISP翻墙时DNS泄露,导致用户上twitter行为暴露==喝茶
4.电信运营商监控到来自twitter的短信==喝茶
5.邮箱泄露来自twitter的信息==喝茶
6.VPN是蜜罐或者VPN公司被橄榄,导致VPN使用者上网记录被泄露==喝茶
7.twitter公司内鬼泄露用户手机号(twitter的漏洞视为内鬼所为)==喝茶
应对策略 0.建立全新的网络身份(注意元数据泄露)
1.学会用虚拟机,手机专机专用,或者避免使用手机
2.使用不联网的输入法
3.翻墙请带套
4.twitter其实可以邮箱注册
5.使用国外匿名邮箱
6.翻墙请带套
7.使用twitter时默认其已经被蓝金黄。
另外:已经被喝茶者统统被公安建立的一个专门部门及数据库所监控,国内账号避免发声,且如果无法做到以上几点避免使用twitter,学会技术再翻墙。
多重代理,控制好最后一重代理的出口地址,可以避免twitter让你输入手机号,twitter监控到你登录ip地址全球跳动,必然让你输入手机号,twitter自身是需要这样的策略来反制水军的,但这一策略被赤匪用来抓人。
1.手机或者电脑内部有国产软件,twitter的使用情况被直接监控(360,俩个马家,wps等等)==喝茶
2.输入法监控,国内输入法全程监控用户操作,twitter发言内容和输入法云端数据相匹配==喝茶
3.ISP翻墙时DNS泄露,导致用户上twitter行为暴露==喝茶
4.电信运营商监控到来自twitter的短信==喝茶
5.邮箱泄露来自twitter的信息==喝茶
6.VPN是蜜罐或者VPN公司被橄榄,导致VPN使用者上网记录被泄露==喝茶
7.twitter公司内鬼泄露用户手机号(twitter的漏洞视为内鬼所为)==喝茶
应对策略 0.建立全新的网络身份(注意元数据泄露)
1.学会用虚拟机,手机专机专用,或者避免使用手机
2.使用不联网的输入法
3.翻墙请带套
4.twitter其实可以邮箱注册
5.使用国外匿名邮箱
6.翻墙请带套
7.使用twitter时默认其已经被蓝金黄。
另外:已经被喝茶者统统被公安建立的一个专门部门及数据库所监控,国内账号避免发声,且如果无法做到以上几点避免使用twitter,学会技术再翻墙。
多重代理,控制好最后一重代理的出口地址,可以避免twitter让你输入手机号,twitter监控到你登录ip地址全球跳动,必然让你输入手机号,twitter自身是需要这样的策略来反制水军的,但这一策略被赤匪用来抓人。
之前不知道,在港人推特下留言怼小粉红,
被派出所的民警打电话教育,
还好只是教育了一下,不是很严重,
从此意识到墙外也不安全,推特号也注销了。
被派出所的民警打电话教育,
还好只是教育了一下,不是很严重,
从此意识到墙外也不安全,推特号也注销了。
我今天就被抓了,就说我用推特
推荐CMHK嗷,不记名的卡感受真实一锅两吃
推特近期在谷歌市场推送安全更新
我们最近修复了一个可能会使你的账号被盗用的问题。尽管我们没有证据表明有人已经利用了该漏洞,但因为我们无法完全确定,所以我们在此告知你该问题。你可以在此处了解更多关于此问题的信息。
请尽快更新到最新的 Android 版 Twitter,以确保你的账号安全。
我们对此次事件深感抱歉,我们将继续努力确保你在 Twitter 上的信息安全。你可以通过此表格联系 Twitter 的数据保护办公室,以获取有关你的账号安全的信息。
推特英文版blog
2019年12月20日
Twitter Android版安全问题
我们最近修复了Android版Twitter中的一个漏洞,该漏洞可能使不良行为者看到非公开帐户信息或控制您的帐户(即,发送推文或直接消息)。在修复之前,通过将恶意代码插入Twitter应用程序受限制的存储区域的复杂过程,不良行为者可能已经可以访问来自Twitter应用程序的信息(例如,直接消息,受保护的推文,位置信息)。
我们没有证据表明恶意代码已插入到应用程序中或该漏洞已被利用,但是我们不能完全确定,因此我们要格外小心。
我们已采取步骤解决此问题,并通过Twitter应用程序或通过电子邮件直接通知可能暴露于此漏洞的人,并提供特定说明以确保他们的安全。这些说明根据使用的Android和Twitter版本不同而有所不同。我们建议人们尽快遵循这些说明。如果不确定该怎么办,请更新至最新版本的Twitter Android版。此问题并未影响iOS的Twitter。
很抱歉,这种情况发生了,我们将继续努力确保Twitter上信息的安全。您可以通过此表格与我们的数据保护办公室联系,索取有关您帐户安全性的信息。
我们最近修复了一个可能会使你的账号被盗用的问题。尽管我们没有证据表明有人已经利用了该漏洞,但因为我们无法完全确定,所以我们在此告知你该问题。你可以在此处了解更多关于此问题的信息。
请尽快更新到最新的 Android 版 Twitter,以确保你的账号安全。
我们对此次事件深感抱歉,我们将继续努力确保你在 Twitter 上的信息安全。你可以通过此表格联系 Twitter 的数据保护办公室,以获取有关你的账号安全的信息。
推特英文版blog
2019年12月20日
Twitter Android版安全问题
我们最近修复了Android版Twitter中的一个漏洞,该漏洞可能使不良行为者看到非公开帐户信息或控制您的帐户(即,发送推文或直接消息)。在修复之前,通过将恶意代码插入Twitter应用程序受限制的存储区域的复杂过程,不良行为者可能已经可以访问来自Twitter应用程序的信息(例如,直接消息,受保护的推文,位置信息)。
我们没有证据表明恶意代码已插入到应用程序中或该漏洞已被利用,但是我们不能完全确定,因此我们要格外小心。
我们已采取步骤解决此问题,并通过Twitter应用程序或通过电子邮件直接通知可能暴露于此漏洞的人,并提供特定说明以确保他们的安全。这些说明根据使用的Android和Twitter版本不同而有所不同。我们建议人们尽快遵循这些说明。如果不确定该怎么办,请更新至最新版本的Twitter Android版。此问题并未影响iOS的Twitter。
很抱歉,这种情况发生了,我们将继续努力确保Twitter上信息的安全。您可以通过此表格与我们的数据保护办公室联系,索取有关您帐户安全性的信息。
推特内部有共谍已经很明显了,在墙内的反贼们请用墙外的手机号码注册,否则还是别用推特了。
原则上,如果你在天朝,最好【不要】注册要求【绑定手机】的网站和服务。
如果你试图要橄榄共产党,最好选择它渗透不了的地方。
这种地方其实比较少,连波兰都不算。
这种地方其实比较少,连波兰都不算。
注意安全, 用推特被抓的人太多了,推特很不安全.你是不是用手机上推特了?
手机电脑都用过,应该是推特本身有漏洞,可以被黑客攻克,暴露用户的手机号。我现在出来不敢乱说话,记住千万别用社交软件就行了。
千万不要用手机号码注册推特账号,最好用邮箱来注册。
也不要头脑发热用国内邮箱,或者用了手机号注册的邮箱。
也不要头脑发热用国内邮箱,或者用了手机号注册的邮箱。
CMHK是中国移动全资子公司,您在搞笑么?香港的Prepaid Card还有CSL、3HK等其他选择...
电信诈骗都在用,用了都说好。其实只要不实名,哪家公司差不多。别的公司虽说有,但是欢迎提供墙内购买渠道,qqqxx
记得推上看到过,注册的时候用的号码一样会被记录,即使后面及时删除绑定。
不过俺主要是看和点赞,很少发,自从接触到了 编程随想 博客 主要看 编程随想 了 ,twitter只是偶尔 看看,俺也没啥影响力,走狗们也没那么多精力
在推特上,每次看到有人被喝茶的信息,我都会试着看看是怎么被发现的。其实没有那么玄乎,估计就是那个所谓的”舆情监控系统“自动捕捉的。
我看到的绝大多数都是发了一张自己的自拍,那就直接被发现了。甚至有人到了18年后期仍然在发自拍,唉。
略微复杂一点的一例,他强调自己”没有发布任何个人信息“但仍然被喝茶了。去翻他的推,发现了一张打了码的、他老婆的、微信朋友圈首页。图片上有手机号码的后几位——我认为这很关键。有了图片的一部分和手机号码的一部分,应该可以实现定位。挺玄乎的,但plausible,那套系统应该功能非常强大。
另外还记得有一例,推主也没有直接发个人信息,但是推的bio里有这一系列:单身、XX大学XX专业XX年毕业、老家XX、工作城市XX、X色XX款车等等之类。这个通过不断缩小范围,也能够被定位到。
总而言之,从我个人见过的被喝茶的实例,100%是自爆。这也是斯诺等说的,对信息安全的最大威胁是用户的operational security。
但,不是要求手机号就OK,其实网络寡头公司要的就是个人实名信息,这样它能打广告,"the user is the product",于是变相成了中共的帮凶。我也看到经常有人发推,说自己的账户被黑,很可能就是中共的黑客在试图访问账户信息,或者即导致账户冻结,触发短信激活。所以另一个角度说,中文异议平台建立在推特上,本身就感觉有问题。
我看到的绝大多数都是发了一张自己的自拍,那就直接被发现了。甚至有人到了18年后期仍然在发自拍,唉。
略微复杂一点的一例,他强调自己”没有发布任何个人信息“但仍然被喝茶了。去翻他的推,发现了一张打了码的、他老婆的、微信朋友圈首页。图片上有手机号码的后几位——我认为这很关键。有了图片的一部分和手机号码的一部分,应该可以实现定位。挺玄乎的,但plausible,那套系统应该功能非常强大。
另外还记得有一例,推主也没有直接发个人信息,但是推的bio里有这一系列:单身、XX大学XX专业XX年毕业、老家XX、工作城市XX、X色XX款车等等之类。这个通过不断缩小范围,也能够被定位到。
总而言之,从我个人见过的被喝茶的实例,100%是自爆。这也是斯诺等说的,对信息安全的最大威胁是用户的operational security。
但,不是要求手机号就OK,其实网络寡头公司要的就是个人实名信息,这样它能打广告,"the user is the product",于是变相成了中共的帮凶。我也看到经常有人发推,说自己的账户被黑,很可能就是中共的黑客在试图访问账户信息,或者即导致账户冻结,触发短信激活。所以另一个角度说,中文异议平台建立在推特上,本身就感觉有问题。
我的推特账号只拿来给色图点赞&转发色图,赵老爷如果愿意为色图中惨遭雷普的纸片人出头,那我认栽
什么都是假的,唯一一个真的理由就是反习被人查了水表。
推特手机号验证就是个垃圾,好的不学,专门学这些垃圾。
推特手机号验证就是个垃圾,好的不学,专门学这些垃圾。
我有一個twitter帳戶被要求要用手機驗證⋯⋯但我不想。是不是沒辦法規避提供手機?這樣的話我的這個twitter帳戶就作廢了(才like了一個po,就被要求提供電話了馬幣)
你的判斷太武斷了。資料全部空白,只有email,一樣被約去“喝茶”啦。
那就要看你的 email 是什么 email 了,是不是也同时拿去注册过别的服务,并且通过该服务最终可以找到你头上
避免使用国内手机号注册,尽量使用Gmail,可避免验证手机。生活推和键政推避免混用(最好就别发生活推)。用的操作系统要干净,多使用延迟发送功能(发布页日历按钮),防止通过发言时间+路由记录确定真实身份。不要使用Twitter客户端,一是为了防止取证,二是为了防止客户端不挂梯子时尝试直连服务器导致身份泄漏。最后,账号>安全内启用两部验证。能做到以上几点,是绝对安全的。
不靠谱。我的非+86,还是被抓去训诫了。
就是拿大陆手机绑定造成的,像找回密码什么的,收个推特发来的验证短信就把你查出来了,公安监听一下某个人电话简直不要太容易。
再就是自己有意无意泄露身份的,推特上不会保护自己信息的人其实非常多。
再就是自己有意无意泄露身份的,推特上不会保护自己信息的人其实非常多。