Video: Kunal Kamra Tweet: JPC On Data Protection Bill "Grills" Twitter, But Does It Have Jurisdiction? (Listopad 2024)
Útočníci možná získali přístup k 250 000 účtům na Twitteru, uvedla webová stránka pro mikroblogování. Je čas změnit heslo… znovu.
Tým zabezpečení webu identifikoval tento týden několik pokusů neoprávněných osob o přístup k uživatelským datům, Bob Lord, ředitel informační bezpečnosti, napsal v blogu Twitter v pátek odpoledne. Společnost také odkryla „jeden živý útok“ a zavřela jej, zatímco to bylo ještě v průběhu chvilky, řekl Lord.
Další vyšetřování odhalilo, že útočníci měli přístup k podmnožině uživatelských dat, včetně uživatelských jmen, e-mailových adres, tokenů relací a šifrovaných / solených hesel, které patří přibližně 250 000 uživatelům, Twitter v příspěvku připustil. Pán neposkytl žádné další informace o narušení bezpečnosti, ani neřekl, zda byl některý z vystavených účtů nezákonně přístupný.
„Jako preventivní bezpečnostní opatření jsme pro tyto účty resetovali hesla a zrušili tokeny relací, “ napsal Lord.
Paul Ducklin v Sophos vysvětluje, co útočníci mohou udělat s ukradeným tokenem relace na blogu NakedSecurity.
Resetovat hesla!
Po resetování exponovaných hesel Twitter zaslal e-mailem postižené uživatele a vytvořil nové heslo. Uživatelé doporučené e-mailem si vybírají silné heslo - alespoň 10 znaků a nebudou znovu použiti na žádném jiném webu nebo účtu - aby se sami chránili. Samozřejmě je také lepší heslo delší než 10 znaků.
Pokud by uživatel měl slabé heslo, skutečnost, že Twitter solil a šifroval hesla, by příliš nepomohla, protože útočníci mohou pomocí různých nástrojů k prasknutí hesla zjistit, jaký byl původní řetězec hesel. A pokud uživatelé použili stejné heslo pro jiné weby online, to je klíč k království identity uživatele, právě tam.
E-mail s oznámením z Twitteru je přinejmenším kryptický. O útoku se vůbec nezmiňuje, ani se neodkazuje na skutečný blogový příspěvek. Pouze informuje uživatele o tom, že heslo mohlo být zneužito, a nabídne uživateli odkaz, na který se dá heslo obnovit. V e-mailu jsou další odkazy na jiné části webu.
Dopis „měl všechny znaky phishingového e-mailu, “ napsal uživatel Twitteru Simon Phipps. „Uživatelé by NEMĚLI být školeni, aby to akceptovali, “ dodal.
My v SecurityWatch jsme to řekli již dříve a řekneme to znovu: Neklikejte na odkazy v e-mailech. Takovou poznámku může posmívat kdokoli a poslat ji náhodným uživatelům. Jak poznamenal Phipps v jiném tweetu, bylo by „obtížné to okamžitě říct“. Na Twitteru se objevily zprávy, že spamová kampaň již možná probíhá.
Pokud obdržíte e-mail s žádostí o resetování hesla Twitter, chvilku vteřinu přejděte na web Twitter ručně a klikněte na odkaz „Zapomenuté heslo“. Pokud musíte kliknout na odkaz v e-mailu, alespoň klikněte na odkaz v e-mailu, který jste požadovali.
Whodunnit? Kdo ví?
Pán nespekuloval o tom, kdo za útoky mohl být.
"Tento útok nebyl dílem amatérů a my nevěříme, že se jedná o ojedinělý incident. Útočníci byli velmi sofistikovaní a věříme, že v poslední době podobně napadeny byly i jiné společnosti a organizace, " napsal Lord.
Lordův příspěvek však zmiňoval tento týden útoky proti New York Times z Číny a nedávné doporučení Ministerstva vnitřní bezpečnosti, které doporučuje uživatelům zakázat Javu v jejich prohlížečích. Přestože je na Twitteru hlášeno, že používá Javu ve své infrastruktuře, zdá se, že na samotném webu nejsou žádné Java applety, takže doporučení zakázat Javu v prohlížeči je v tomto kontextu záhadné.
Federální policejní a státní úředníci incident vyšetřují.
