Video: Dai Big data all'Intelligenza Artificiale: è possibile hackerare una democrazia? (Settembre 2024)
Se sei uno dei 250.000 utenti di Twitter che hanno ricevuto l'e-mail di reimpostazione della password venerdì, si spera che tu abbia già cambiato la password. Se utilizzi app di terze parti per pubblicare su Twitter, è possibile che queste app utilizzino ancora le tue vecchie credenziali. Disinstalla e reinstalla le app in modo sicuro.
Come riportato su SecurityWatch durante il fine settimana, gli aggressori hanno rubato nomi utente, indirizzi e-mail, token di sessione e password salate e con hash. I token di sessione sono un tipo speciale di cookie crittografici che informano il sito di microblogging che l'utente è già connesso. Finché il token di sessione è ancora valido (non scaduto, revocato o eliminato), gli utenti possono tornare a Twitter senza riconnettersi in ogni momento.
La revoca di questi token di sessione, come ha detto Twitter, garantisce che gli aggressori che sono riusciti a intercettare i token non possano accedere al tuo account. Considerando la quantità di malware che ruba i dati là fuori che raccoglie cookie da computer infetti, reimpostare il token è scomodo per gli utenti (per dover accedere nuovamente) ma efficace per tenere fuori gli aggressori.
Le app possono accedere
Tuttavia, è stato segnalato che alcuni token utilizzati dalle app di terze parti non sono stati interessati. La creazione di una nuova password dopo aver ricevuto la notifica di reimpostazione non ha impedito alle app mobili o ai client desktop di Twitter come TweetDeck di inviare nuovi post, secondo quanto riportato da The Register. Il nostro Max Eddy ha detto che ha dovuto cambiare le password dei suoi account Twitter durante il fine settimana, ma nessuna delle app di terze parti che ha usato lo ha spinto ad aggiornare la password con quella più recente.
Le app che utilizzano l'API di Twitter si basano in genere su OAuth, uno standard aperto per l'autenticazione su più siti. I token di sessione revocati da Twitter non sembrano avere interessato le app che hanno utilizzato OAuth per gestire l'autenticazione. Una persona ha dichiarato a The Register che le app non hanno richiesto la nuova password fino a quando non è stata eliminata e reinstallata di nuovo.
"Quando una password viene cambiata su un dispositivo e hai altri due dispositivi connessi con la vecchia password (ad esempio), il fornitore dovrebbe terminare tutte le sessioni aperte per l'account specificato", ha dichiarato Sean Duca di McAfee a The Register.
Le app che usano OAuth ricevono una chiave di sessione crittografica la prima volta che si autenticano con il servizio Web e inviano le chiavi nelle visite successive, ha detto a SecurityWatch Cesar Cerrudo, CTO di IOActive Labs. Ciò consente alle app di terze parti di funzionare con il servizio in questione senza inviare ripetutamente le informazioni sulla password.
Cerrudo non aveva ancora esaminato questa particolare situazione, quindi non offrì alcuna ipotesi su ciò che stava accadendo. SecurityWatch ha contattato Twitter su come tratta le sessioni OAuth e è in attesa di risposta.
Per politica, Twitter non "attualmente scade i token di accesso", secondo la guida dell'azienda agli sviluppatori sull'uso di OAuth. "Il tuo token di accesso non sarà valido se un utente rifiuta esplicitamente la tua applicazione dalle sue impostazioni o se un amministratore di Twitter sospende la tua applicazione", ha affermato la guida.
Questo sarebbe il secondo incidente di OAuth con Twitter nelle ultime settimane. Cerrudo ha recentemente chiamato Twitter per non aver avvisato gli utenti di un problema di autorizzazioni che era stato risolto in modo silenzioso.
Per ulteriori informazioni su Fahmida, seguila su Twitter @zdFYRashid.
