Video: Security breach- Ram Levi (Oktober 2024)
Angripere kan ha fått tilgang til 250.000 kontoer på Twitter, sa nettstedet for mikroblogging. Det er på tide å endre passord… igjen.
Nettstedets sikkerhetsgruppe identifiserte flere tilgangsforsøk fra uvedkommende til å få tilgang til brukerdata denne uken, skrev Bob Lord, direktør for informasjonssikkerhet, på Twitter-bloggen fredag ettermiddag. Selskapet avdekket også "ett liveangrep" og stengte det mens det fremdeles var i gang øyeblikk senere, sa Lord.
Videre undersøkelser avdekket at angripere var i stand til å få tilgang til et delsett av brukerdata, inkludert brukernavn, e-postadresser, sesjonstokener og krypterte / saltede passord, som tilhørte omtrent 250 000 brukere, innrømmet Twitter i innlegget. Lord ga ingen tilleggsinformasjon om sikkerhetsbruddet, og sa heller ikke om noen av de eksponerte kontoene var ulovlig tilgang.
"Som et sikkerhetstiltak har vi tilbakestilt passord og tilbakekalt sesjonstegn for disse kontoene, " skrev Lord.
Paul Ducklin på Sophos forklarer hva angripere kan gjøre med stjålet økttoken på NakedSecurity-bloggen.
Tilbakestill passord!
Etter tilbakestilling av de eksponerte passordene, varslet Twitter berørte brukere via e-post for å opprette et nytt passord. E-posten anbefalte brukere å velge et sterkt passord - minst 10 tegn og ikke gjenbruk på noe annet nettsted eller kontoer - for å beskytte seg selv. Selvfølgelig er et passord lenger enn 10 tegn også bedre.
Hvis brukeren hadde et svakt passord, ville ikke det faktum at Twitter hadde saltet og kryptert passordene være mye hjelp, da angripere kan bruke forskjellige verktøy for cracking av passord for å finne ut hva den opprinnelige passordstrengen var. Og hvis brukere hadde brukt det samme passordet for andre nettsteder på nettet, er det nøklene til brukerens identitetsrike, akkurat der.
Varslings-e-posten fra Twitter er mildest sagt kryptisk. Den nevner ikke angrepet i det hele tatt, og lenker heller ikke til selve blogginnlegget. Den informerer bare brukeren om passordet kan ha blitt kompromittert, og tilbyr brukeren en lenke å klikke på for å tilbakestille passordet. Det er andre lenker til andre deler av siden i e-posten.
Brevet "hadde alle kjennetegnene på en phishing-e-post", skrev Twitter-bruker Simon Phipps. "Brukere skal IKKE bli opplært til å godta dette, " la han til.
Vi i SecurityWatch har sagt det før, og vi vil si det igjen: Ikke klikk på lenker i e-postmeldinger. Hvem som helst kan håne en lapp som denne og sende den ut til tilfeldige brukere. Som Phipps bemerket i en annen tweet, ville det være "vanskelig å fortelle det med en gang." Det var rapporter på Twitter om at en spam-kampanje allerede kan være i gang.
Hvis du mottar en e-post som ber deg om å tilbakestille Twitter-passordet ditt, kan du bare ta et sekund å gå til Twitter's side manuelt og klikke på "Glemt passord" -lenken. Hvis du må klikke på en lenke i en e-post, kan du i det minste klikke på en lenke i e-posten du ba om.
Whodunnit? Hvem vet?
Lord spekulerte ikke i hvem som kan ha stått bak angrepene.
"Dette angrepet var ikke amatørers arbeid, og vi tror ikke det var en isolert hendelse. Angriperne var ekstremt sofistikerte, og vi tror andre selskaper og organisasjoner også nylig har blitt angrepet på lignende måte, " skrev Lord.
Lord's post omtalte imidlertid angrepene mot New York Times fra Kina denne uken, og den nylige rådgivningen fra Department of Homeland Security anbefalte brukere å deaktivere Java i nettleserne. Selv om Twitter blir rapportert å bruke Java i infrastrukturen, ser det ikke ut til å være noen Java-appleter på selve nettstedet, så anbefalingen om å deaktivere Java i nettleseren er underlig i denne sammenhengen.
Forbundsrettshåndhevelse og myndighetspersoner etterforsker hendelsen, sa Twitter.
