媒体援引知情人士的消息报道，Twitter 接近字节跳动公司表达了竞购 TikTok 美国业务的兴趣。Twitter 能否出价高于微软并在 45 天内完成交易，目前还不得而知。在 TikTok 美国业务的竞价中微软仍然是领跑者。Twitter 市值约 300 亿美元，比剥离的 TikTok 业务估值接近，为完成这笔交易它需要进行额外融资，而它未必有足够的借款能力。它的股东可能宁愿专注于现有的业务。

胡锡进、新华、人日等等，它们都在 Twitter 上开设了官方账号。从今天开始，Twitter 给中国政府和官媒相关账号下添加相应标签。Twitter 表示，“中国屏蔽了普通用户访问 Twitter 的权限。我们相信，更多的情况信息会有助于人们与中国政府和官媒账号的互动。官媒账号上的标签提供了更多关于由政府某些官方代表、官媒实体和与这些实体密切相关的个人所控制的账号的情况。 此标签会出现在相关 Twitter 账号的个人资料页面，以及这些账号发送和分享的推文上。标签包含账号所属国家/地区的信息，以及此账户是否由政府代表或官媒实体运营。 此外，这些标签还包括一个国旗小图标，以表明该账号是一个政府账号；以及一个讲台小图标，表明是官媒。”Twitter 添加的标签包括“中国政府账号”和“中国官方媒体”。

对 17 岁 Graham Ivan Clark 而言，恶作剧从年少时就开始了。10 岁时，为了逃避他所谓的“不快乐的家庭生活”他开始玩《我的世界》。他成为了一名脾气暴躁的骗子。15 岁时他加入了一个黑客论坛。16 岁时进入了比特币的世界，偷取了价值 85.6 万美元的数字货币。他的黑客生涯于上周五结束，他在公寓里遭到逮捕，面临 30 项重罪指控，被认为是上个月 Twitter 黑客攻击的主谋。Clark 的父母在他 7 岁时离婚，他与母亲生活在佛罗里达的坦帕市。2016 年他开设了一个 YouTube 频道，靠玩暴力版《我的世界》积累了数千粉丝，但他更为知名是在游戏中欺骗，比如交易虚拟物品别人给钱了他不兑现，交易用户名付钱之后他就将对方拉黑。他后来开始玩《堡垒之夜》玩比特币，使用化名 Graham$ 加入了黑客论坛 OGUsers。但被论坛管理员屏蔽，因为别人打钱了他却没有发送比特币。他学会利用名为 SIM swapping 的攻击方法控制比特币用户的手机窃取比特币。今年 4 月特勤局扣押了他的 100 比特币，因为他未成年而没有逮捕他。这一事件震撼了他，他一度收敛但很快故伎重施，将目标对准了 Twitter。他说服了一名 Twitter 员工相信他是 IT 部门的同事，让该员工提供凭证登陆客户服务入口。他从 OGUsers 上找到同谋试图出售其他人感兴趣的 Twitter 用户名，并再次使用他过去的欺骗方法，也就是付钱之后并不真正兑现。

美国司法部宣布逮捕了三名在 7 月 15 日对 Twitter 发动攻击的青少年，公布了两个人的名字，还有一个因年龄不到 18 岁而没有公布身份，但其身份很快被媒体挖了出来：Mason Sheppard，aka Chaewon，19 岁；Nima Fazeli，aka Rolex，22 岁；以及 Graham Ivan Clark，aka Kirk，17 岁。美司法部的新闻稿称，认为攻击 Twitter 可以匿名进行并且没有后果是不可能的。根据法庭文件，对 Twitter 的攻击始于 5 月 3 日，17 岁的 Kirk 设法进入了 Twitter 的网络。他没有立即发动攻击，而可能是收集了 Twitter 的网络情报，了解到哪些人能访问账号管理工具。掌握这些情报之后他与其同伙才发动了引发瞩目的后续攻击。Kirk 被认为是这次攻击的主谋，他面临多达 30 项重罪指控。

Twitter 官方博客披露了黑客攻击的更多细节：7 月 15 日，攻击者对少数 Twitter 员工发动手机钓鱼攻击，成功的攻击不仅让攻击者能访问公司内网，还能利用特定员工凭证访问内部支持工具。在利用凭证访问内部系统之后攻击者获得了 Twitter 内部流程的情报（比如谁能访问账号管理工具）。然后利用这些情报攻击者针对了能访问账号管理工具的员工，使用这些员工的凭证攻击者劫持了 130 个账号，使用其中 45 个账号发帖，访问了 36 个账号的 DM 私信，下载了 7 个账号的数据。Twitter 表示它仍然在继续进行调查，与执法机构合作识别攻击者的身份。

匿名读者 写道 "推特已主动向欧盟数据保护机构报备此前受到黑客攻击的事件。欧盟数据保护机构爱尔兰数据保护委员会（DPC）发言人 Graham Doyle 表示，该监管机构已收到关于这一事件的通报并正在进行评估。推特仍在调查和评估攻击是如何进行的，但并没有透露帐户中的其他信息 (比如私人信息) 是否受到了影响。这一事件引发了人们对肇事者身份和其实际目标的猜测。一些网络安全专家推测，这次攻击掩盖了一场更为「邪恶」的行动，目的是获取敏感数据。推特同时表示正在与监管机构密切合作。" Twitter 周三表示黑客访问了 36 个账号的私聊信息（direct messages）。安全博客 Krebs on Security 则在继续挖掘黑客的身份。

Twitter 公布了周三发生的大规模账号劫持事故的初步调查报告。Twitter 称，攻击者利用了社会工程。所谓社会工程就是操纵他人去执行某些动作泄露机密信息。攻击者成功操纵了一小部分 Twitter 雇员，使用雇员的凭证登陆内部系统，访问了只提供给内部支持团队的工具以 130 个账号为目标，对其中 45 个目标，攻击者重置了密码，登录进账号发推。攻击者还使用下载了 8 个账号的信息档案。这 8 个账号都不是认证账号。Twitter 表示它还在继续调查，正在配合执法机构，思考改进系统安全的措施。

Twitter 本周遭遇了一次影响可能深远的大规模黑客攻击，未知攻击者劫持了众多名人高管政客、知名公司和数字货币交易平台的官方账号，欺骗性的诱惑用户向其钱包地址发送比特币。入侵的首个信号是交易所币安发帖称它将参与 CryptoForHealth 活动，向社区回馈 5000 BTC。随后其他名人的账号开始发布类似的帖子。安全博客 KrebsOnSecurity 报道，很多迹象显示幕后攻击者是以前精于利用 SIM swapping 劫持社交媒体账号的人。在一个专门讨论账号劫持的论坛 OGuser，Twitter 的大规模攻击发生前一位名叫 Chaewon 的用户发广告称，花 250 美元可以改变任何 Twitter 账号的电邮地址。Chaewon 保证说，如果无效可以全额退款。KrebsOnSecurity 援引消息源称，这位臭名昭著的 SIM swapper 曾用化名 PlugWalkJoe，其真实身份是 21 岁的英国利物浦人 Joseph James Connor。他现在在西班牙，因疫情无法回国。

匿名读者 写道 "在名人账号遭劫持发布比特币欺诈信息之后，Twitter 屏蔽了含有区块链钱包地址，各类哈希字符串的帖子。用户发表含有这些字符串的帖子会返回发表失败的错误信息。"这起安全事故引发了对 Twitter 保护用户账号能力的担忧。对于事故的原因，Twitter 仍然在进行调查，初步结论是能访问内部系统的雇员遭到社交工程攻击。这起事故将让 Twitter 面临更大的政治压力。

美国时间周三，未知黑客劫持了 Twitter 上的名人和知名公司账号，同时发起比特币骗局，以回报社区 5000 BTC 的名义欺骗用户向其钱包地址转入比特币，声称会转出双倍。被劫持的账号包括了名人 Elon Musk、Kanye West、Jeff Bezos、Michael Bloomberg、Warren Buffett、Bill Gates、Barack Obama 和 Joe Biden，知名公司 Uber 和 Apple，数字货币平台 Gemini、Binance、KuCoin、Coinbase、Litecoin 的 Charlie Lee, Tron 的孙宇晨、Bitcoin、Bitfinex、Ripple 和 CoinDesk 等等。根据 Motherboard 的报道，问题根源似乎是 Twitter 的管理面板。暂时不清楚这次攻击是否有 Twitter 雇员参与或是否是外部第三方访问了管理面板。美国共和党参议员 Josh Hawley 已经致函 Twitter CEO Jack Dorsey，要求提供此次黑客攻击的更多信息。

为了评估刚刚生效的国家安全法律，Google、Facebook 和 Twitter 暂停了来自香港的政府数据请求。在法律于 7 月 1 日生效当天，Google、和Twitter 就暂停处理来自港府的数据披露请求，Facebook 则是在周一宣布暂停处理。Google、Facebook 和 Twitter 都无法在中国大陆访问，但此前在香港未受任何限制。

Twitter 周四表示，中国加大了在该平台上散布虚假信息的努力。该公司表示，它已经发现并删除了 23750 个“高度参与”传播虚假信息的帐户。Twitter 表示，它还删除了大约 15 万个帐号，它们被专门用于点赞和转发吹捧中国的推文。Twitter 说，最近几周发现的虚假帐号距离它们的创建时间不久，而且往往不够高级，不足以让人相信它们是由真人操作。Twitter 最近删除的帐号中，没有几个拥有超过 10 名以上的关注者。许多人没有个人介绍——Twitter 用户向其他用户介绍自己的方式——有些帐号同时用俄语和中文发布推文。

Facebook CEO 扎克伯格(Mark Zuckerberg)卷入了 Twitter 与美国总统特朗普之间的争执，他接受采访时表示 Facebook 不会对政治言论进行事实核查。因为 Twitter 的做法，特朗普签署了行政令寻求废除一项保护社交媒体公司的法规。扎克伯格则尽力与这些争论拉开距离。“在这个问题上我认为我们的政策和推特不同，”扎克伯格对福克斯新闻称。这两个网站都会撤下违反其服务条款的内容，但他说，Facebook的立场“使我们和其他一些科技公司区分开来，对言论自由和观点表达有更强的保护。”虽然 Facebook 确实会给有误导性的帖子贴上标签，但不会审视政界人士的评论帖，一些议员和民主党总统竞选人拜登称这一决定帮助谎言在网上传播。

Twitter 开始在过去几个月的争议性人物推文下添加事实核查链接，其中包括美国总统特朗普，中国外交部发言人赵立坚。Twitter 首次在美国总统的两则推文上添加警示，因为这些推文错误地声称，邮寄选票是“欺诈性的”，将导致“人为操纵的选举”。此举让特朗普发出关闭社交网络的威胁。在赵立坚声称新冠源自美国的推文下 Twitter 添加了新冠事实核查的链接。对于特朗普的推文，Twitter 表示：“这些推文……包含有关投票流程的潜在误导性信息，被贴上标签，以提供有关邮寄选票的更多信息。”特朗普则指责 Twitter 扼杀了言论自由。

Twitter CEO Jack Dorsey 通过电子邮件告诉雇员，将永久性允许雇员在家办公，即使是在疫情结束居家隔离政策终止之后。部分需要雇员在场的工作如维护服务器，将仍然需要雇员前往其办公室。Twitter 发言人表示，从转向在家办公模式时起他们就对此有了深思熟虑。Dorsey 在邮件中表示，至少要到 9 月份公司才会重新开放办公室，商业旅行在这之前除了少数例外也将会继续取消。今年剩余时间的面对面活动也将全部停办，今年晚些时候将重新评估 2021 年的计划。

4 月 2 日，Twitter 官方博客称，Mozilla Firefox 储存缓存的方式可能导致用户的非公开信息储存在浏览器的缓存里，这意味着如果你用 Mozilla Firefox 在公用或共享计算机上访问 Twitter，采取行动如下载存档或发送接收私信，那么你登出之后这些信息可能会仍然储存在浏览器的缓存里。Twitter 称这个私信缓存问题只影响 Firefox 不影响 Safari 或 Chrome。那么这个问题是否应该怪罪于 Firefox？Mozilla 对此有不同看法，Mozilla 官方博客在 4 月 3 日回应指出是 Twitter 自己导致了这个问题。Mozilla 开发者指出，Twitter 的 Cache-Control 指令设置不正确。RFC 7234 定义了缓存工作机制，其中的关键是 Cache-Control 头文件，网站使用 Cache-Control 告诉浏览器哪些内容可安全储存在缓存里。缓存内容可加快内容访问，因此除非网站明确指出不允许浏览器会缓存大部分内容，这个机制叫 Heuristic caching（启发式缓存）。Firefox 的启发式缓存会缓存内容七天。Twitter 没有给私信的缓存加入 no-store 指令。这个问题之所以没有在其它浏览器上重现是因为当 Content-Disposition 出现的情况下这些浏览器会禁用启发式缓存。而在 Firefox 上，Content-Disposition 存在的情况下没有禁用启发式缓存。问题看起来是 Twitter 没有在 Firefox 上测试其网站的缓存行为。这其实是一种非常普遍的现象。

因新冠疫情，微博客服务 Twitter 强烈督促其全球五千名雇员在家远程工作。Twitter 博客称，它正致力于确保重要工作都可以以远程参与的方式进行，对于需要去办公室的员工，办公室对他们正常开放，它会加大办公室的清洁和消毒。由于政府限制，香港、日本和韩国的雇员必须在家远程工作。Twitter 称它是一家全球服务公司，它正努力让任何人可以在任何地方为 Twitter 工作。

去年 12 月，安全研究员 Ibrahim Balic 披露他利用一个 Twitter Android app 漏洞匹配了 1700 万用户的手机号码。Twitter 的联络人上传功能会在上传通讯录之后返回匹配到的用户数据，也就是你可以知道一个随机生成的手机号码是否属于一位真实用户。现在，Twitter 发出警告，有第三方攻击者使用其官方 API 匹配用户名和手机号码。Twitter 称，它在调查 Ibrahim Balic 披露的安全漏洞期间发现有证据显示另外第三方也在利用该 API 漏洞，攻击者使用的部分 IP 地址与国家支持的黑客有关联。Twitter 表示，这一攻击只影响在设置页启用了“Let people who have your phone number find you on Twitter”的用户，没有提供手机号码的用户也不受影响。

安全研究员 Ibrahim Balic 利用一个 Twitter Android app 漏洞匹配了 1700 万用户的手机号码。Twitter 的联络人上传功能会在上传通讯录之后返回匹配到的用户数据，也就是你可以知道一个随机生成的手机号码是否属于一位真实用户。可能是为了防止此类的随机号码生成，Twitter 不接受序列格式的通讯录上传。但这一机制显然很容易绕过，Balic 生成了超过 20 亿个手机号码，将其顺序随机化，然后使用 Twitter Android app 上传。在两个月时间里他匹配了来自以色列、土耳其、伊朗、希腊、亚美尼亚、法国和德国的用户账号。Twitter 在 12 月 20 日封掉了他的账号阻止了他的手机号码匹配。Twitter 发言人已经证实了这一漏洞，表示正致力于让这一漏洞不能再被利用。Web 端的 Twitter 上传功能没有该漏洞。

Facebook 和 Twitter 关闭了一个发表支持特朗普信息的假账号网络。Facebook 称，假账号使用了 AI 生成的照片，这些账号以高频率发表支持特朗普的帖子。Facebook 称它删除了 610 个账号，89 个 Facebook pages，156 个小组和 72 个 Instagram 账号。总共约有 5500 万账号跟随了这些账号。