Video: LEGO Chima - 70223 Icebitov krempljati vrtalnik (November 2024)
Napadalci so morda dobili dostop do 250.000 računov na Twitterju, navaja spletno mesto za mikroblog. Čas je, da znova spremenite geslo.
Varnostna skupina spletnega mesta je ta teden odkrila več poskusov nepooblaščenih posameznikov za dostop do podatkov uporabnikov, je v petek popoldne na spletnem dnevniku Twitter zapisal Bob Lord, direktor informacijske varnosti. Družba je tudi odkrila "en napad v živo" in ga zaustavila, medtem ko je bil še nekaj v teku, je povedal Lord.
Nadaljnja preiskava je pokazala, da so napadalci lahko dostopali do podmnožja uporabniških podatkov, vključno z uporabniškimi imeni, e-poštnimi naslovi, žetoni za seje in šifriranimi / zasoljenimi gesli, ki pripadajo približno 250.000 uporabnikom, je Twitter objavil v objavi. Lord ni posredoval dodatnih informacij o kršitvi varnosti, prav tako ni povedal, ali je bil kateri od izpostavljenih računov nezakonito dostopen.
"Kot varnostni ukrep smo ponastavili gesla in preklicali žetone seje za te račune, " je zapisal Lord.
Paul Ducklin v Sophosu pojasni, kaj lahko napadalci storijo z ukradenim žetonom seje na blogu NakedSecurity.
Ponastavite gesla!
Po ponastavitvi izpostavljenih gesel je Twitter po e-pošti obvestil prizadete uporabnike, da so ustvarili novo geslo. Uporabniki po e-pošti so priporočili, da izberejo močno geslo - vsaj 10 znakov in ga ne uporabijo ponovno na katerem koli drugem spletnem mestu ali računih - da bi se zaščitili. Seveda je boljše tudi geslo, daljše od 10 znakov.
Če bi imel uporabnik šibko geslo, dejstvo, da je Twitter nasolil in šifriral gesla, ne bi bilo v veliko pomoč, saj lahko napadalci z različnimi orodji za razbijanje gesla ugotovijo, kakšen je izvorni niz gesla. In če so uporabniki uporabili isto geslo za druga spletna mesta, so to ključi do identitete uporabnikovega kraljestva.
Obvestilo s Twitterja je v najmanjši meri zagovarjeno. Napada sploh ne omenja, niti ne povezuje z dejansko objavo na blogu. Uporabnik zgolj sporoči, da je geslo morda ogroženo, in uporabniku ponudi povezavo, s katero lahko klikne, da geslo ponastavi. V e-poštnem sporočilu so še druge povezave do drugih delov spletnega mesta.
Pismo "je imelo vse znake lažnega e-poštnega sporočila", je zapisal uporabnik Twitterja Simon Phipps. "Uporabniki NE smejo biti usposobljeni, da to sprejemajo, " je dodal.
To smo že povedali v SecurityWatch-u in ponovno bomo rekli: Ne kliknite povezav v e-poštnih sporočilih. Vsakdo se lahko posmeši takšni opombi in jo pošlje naključnim uporabnikom. Kot je Phipps opazil v drugačnem tvitu, bi bilo "težko takoj povedati." Na Twitterju so se pojavila poročila, da morda že poteka akcijska pošta za neželeno pošto.
Če prejmete e-poštno sporočilo s prošnjo za ponastavitev gesla za Twitter, le sekundo ročno pojdite na Twitterjevo spletno mesto in kliknite povezavo »Pozabljeno geslo«. Če morate v e-poštnem sporočilu klikniti povezavo, kliknite vsaj povezavo v e-poštnem sporočilu, ki ste ga zahtevali.
Whodunnit? Kdo ve?
Lord ni špekuliral, kdo je morda stal za napadi.
"Ta napad ni bil delo amaterjev in ne verjamemo, da je šlo za osamljen incident. Napadalci so bili izredno sofisticirani in verjamemo, da so tudi druga podjetja in organizacije v zadnjem času podobno napadli, " je zapisal Lord.
Toda Lord's Post je omenjal napade na New York Times iz Kitajske ta teden in nedavno svetovanje ministrstva za domovinsko varnost, ki priporoča uporabnikom, da v svojih brskalnikih onemogočijo Java. Medtem ko naj bi Twitter uporabljal Javo v svoji infrastrukturi, na spletnem mestu ni videti nobenih jabolčnih apletov, zato je priporočilo za onemogočanje Jave v brskalniku v tem kontekstu zmedeno.
Zvezni organi kazenskega pregona in vladni uradniki preiskujejo incident, je povedal Twitter.