Twitter 被拖庫，泄密包括 id 和 oauth_token，讓用戶修改密碼有用嗎？

01-03

via Techworm: Twitter Hacked, Thousand of account leaked, millions compromised by Mauritania Attacker.

粗看這次泄露出來的資料庫

用戶ID，用戶昵稱，用戶OAuth_Token和oauth_token secret codes

額……怎麼咋看咋覺得熟悉呢……

猛然想起，這不就是通過Twitter的OAuth驗證之後獲取到的用戶信息么？！

這玩意，是個需要Twitter登陸的第三方軟體都能獲取得到啊

按照OAuth的規則，Twitter的伺服器上面存的應該是另外一套密匙才對，看來這次泄露出來的所謂的資料庫應該就是某個第三方服務的資料庫沒跑了

那麼針對這份泄露出來的資料庫，拿到的黑客可以幹什麼呢？

按照Twitter的API介面，通過OAuth驗證用戶之後，用戶可以進行常規Twitter操作，也就是發推、關注啥的，基本上就是Twitter的第三方軟體能做的那麼些事情，至於查看用戶密碼啥的，這個當然是做不到的，修改就更別提了……

不過這一切操作的前提都建立在和資料庫對應的App ID和App Secret依舊有效的情況下

App ID這貨按照Twitter的API使用條款，Twitter想封就封，估計這次事情被爆出來的時候已經封掉了

至於App Secret，更是開發者想換就換的。在開發者察覺到資料庫泄露的之後，按照一般操作流程，App Secret應該在第一時間就被替換了吧……

綜上，這份資料庫的泄露威脅應該是微乎其微……

最後回答一下題主問的『修改密碼是否有效』

這個當然是……沒有效果的啦~~~~

通過你授權獲得的OAuth就是為了防止開發者記錄用戶賬號密碼，當然，也就和你是否修改密碼無關了（當然這是我當年使用的時候的安全策略，現在可能有所更改，懶得測試了……錯了勿怪……）

不過你可以在應用中查看你授權的可疑第三方應用，把他們給禁用掉之後，相應的OAuth就會自動失效了

所以說，定期檢查關聯了你Twitter賬號的應用，也是安全使用Twitter必須要做的工作。

Twitter: No Accounts Compromised in Major Leak

"We have investigated the situation and can confirm that no Twitter accounts were compromised," a Twitter spokesperson told Mashable.
The news comes after Twitter sent an email late Monday to verified users urging them to use two-step authentication to keep accounts secure.

A source close to the matter also told Mashable the issue involved a specific third-party app which has already been suspended by Twitter.