Video: 📹 Готовый комплект видеонаблюдения ZOSI, 8ch/4cam, 145$, POE, Unpack&Test / ALIEXPRESS 🔓 (November 2024)
Če ste eden od 250.000 uporabnikov Twitterja, ki so v petek prejeli e-poštno sporočilo za ponastavitev gesla, upajmo, da ste že spremenili geslo. Če za objavo na Twitterju uporabljate aplikacije drugih proizvajalcev, je možno, da te aplikacije še vedno uporabljajo vaše stare poverilnice. Odstranite in znova namestite aplikacije, da so na varni strani.
Kot smo poročali o SecurityWatchu čez konec tedna, so napadalci ukradli uporabniška imena, e-poštne naslove, žetone sej in gesla s slanim in šivanim pomikom. Seksualni žetoni so posebna vrsta kriptografskih piškotkov, ki spletno mesto za mikro bloganje sporočajo, da je uporabnik že prijavljen. Dokler je žeton seje še vedno veljaven (ni potekel, preklican ali izbrisan), se lahko uporabniki vrnejo na Twitter, ne da bi se prijavili nazaj v vsakem trenutku.
Če prekličete te žetone seje, kot je povedal Twitter, napadalci, ki jim je uspelo prestreči žetone, ne morejo dostopati do vašega računa. Glede na količino zlonamerne programske opreme, ki krade podatke, tam pobirajo piškotke iz okuženih računalnikov, je ponastavitev žetona neprijetno za uporabnike (ker se morajo ponovno prijaviti), vendar učinkovito preprečuje napadalce.
Aplikacije se lahko prijavijo
Vendar pa obstajajo poročila, da nekateri žetoni, ki jih uporabljajo aplikacije drugih proizvajalcev, niso bili prizadeti. Ustvarjanje novega gesla po prejemu obvestila o ponastavitvi ni preprečilo, da Twitterjeve lastne mobilne aplikacije ali namizni odjemalci, kot je TweetDeck, pošiljajo nove objave, poroča The Register. Naš lastni Max Eddy je dejal, da je moral čez vikend spremeniti gesla za svoje račune na Twitterju, toda nobena tretja aplikacija, ki jo je uporabljal, ga ni pozvala, naj posodobi geslo z novejšim.
Aplikacije, ki uporabljajo Twitter API, se običajno opirajo na OAuth, odprt standard za preverjanje pristnosti na več mestih. Preklicani žetoni seje Twitter ne vplivajo na aplikacije, ki uporabljajo OAuth za preverjanje pristnosti. Ena oseba je za The Register povedala, da aplikacije niso zahtevale novega gesla, dokler niso bile izbrisane in znova nameščene.
"Ko je geslo v eni napravi spremenjeno in imate dve stari napravi prijavljeni s starim geslom (na primer), bi moral prodajalec preklicati vse odprte seje za dani račun, " je za The Register povedal McAfeejev Sean Duca.
Aplikacije, ki uporabljajo OAuth, prejmejo kriptografski ključ za sejo, ko se prvič potrdi s spletno storitvijo, ključe pa pošlje ob naslednjih obiskih, je za SecurityWatch povedal Cesar Cerrudo, CTO iz IOActive Labs. To omogoča aplikacijam drugih proizvajalcev, da delajo z zadevno storitvijo, ne da bi večkrat poslali podatke o geslu.
Cerrudo še ni obravnaval te posebne situacije, zato ni ponujal ugibanja o tem, kaj se dogaja. SecurityWatch je na Twitterju sporočil, kako obravnava seje OAuth in čaka, da se oglasi nazaj.
V skladu s smernicami razvijalcem o uporabi OAuth po Twitterju Twitter "trenutno ne poteče žetonov za dostop". "Vaš žeton za dostop bo neveljaven, če uporabnik izrecno zavrne vašo aplikacijo iz svojih nastavitev ali če Twitter skrbnik začasno prekine vašo aplikacijo, " so zapisali v navodilih.
To bi bil drugi incident, povezan z OAuthom s Twitterjem v zadnjih nekaj tednih. Cerrudo je pred kratkim poklical Twitter, da uporabnikov ni obvestil o izdaji dovoljenj, ki jo je tiho določil.
Več o Fahmidi spremljajte na Twitterju @zdFYRashid.