Video: Twitter Tutorial : How to make those 4 pic tweets (Novembre 2024)
Gli aggressori potrebbero aver ottenuto l'accesso a 250.000 account su Twitter, ha affermato il sito di microblogging. È ora di cambiare la password… di nuovo.
Il team di sicurezza del sito ha identificato molteplici tentativi di accesso da parte di persone non autorizzate per accedere ai dati degli utenti questa settimana, venerdì Lord Bob Lord, direttore della sicurezza delle informazioni, ha scritto sul blog di Twitter. La compagnia ha anche scoperto "un attacco dal vivo" e lo ha spento mentre era ancora in corso pochi istanti dopo, Lord ha detto.
Ulteriori indagini hanno rivelato che gli aggressori erano in grado di accedere a un sottoinsieme di dati utente, inclusi nomi utente, indirizzi e-mail, token di sessione e password crittografate / salate, appartenenti a circa 250.000 utenti, ha ammesso Twitter nel post. Lord non ha fornito ulteriori informazioni sulla violazione della sicurezza, né ha detto se uno degli account esposti era stato illegalmente consultato.
"Come misura di sicurezza precauzionale, abbiamo reimpostato le password e revocato i token di sessione per questi account", ha scritto Lord.
Paul Ducklin su Sophos spiega cosa possono fare gli aggressori con il token di sessione rubato sul blog di NakedSecurity.
Reimposta password!
Dopo aver reimpostato le password esposte, Twitter ha notificato gli utenti interessati via e-mail per creare una nuova password. L'email ha raccomandato agli utenti di selezionare una password complessa (almeno 10 caratteri e non riutilizzata su altri siti o account) per proteggersi. Naturalmente, anche una password più lunga di 10 caratteri è migliore.
Se l'utente avesse una password debole, il fatto che Twitter avesse salato e crittografato le password non sarebbe di grande aiuto, in quanto gli aggressori possono usare vari strumenti per decifrare la password per capire quale fosse la stringa della password originale. E se gli utenti avessero usato la stessa password per altri siti online, questa sarebbe la chiave del regno dell'identità dell'utente, proprio lì.
L'e-mail di notifica da Twitter è a dir poco criptica. Non menziona affatto l'attacco, né si collega al post reale del blog. Informa semplicemente l'utente che la password potrebbe essere stata compromessa e offre all'utente un link su cui fare clic per reimpostare la password. Nell'e-mail sono presenti altri collegamenti ad altre parti del sito.
La lettera "aveva tutte le caratteristiche di un'e-mail di phishing", ha scritto l'utente di Phon Simon Phipps. "Gli utenti NON devono essere addestrati ad accettarlo", ha aggiunto.
In SecurityWatch l' abbiamo già detto e lo diremo di nuovo: non fare clic sui collegamenti nelle e-mail. Chiunque può prendere in giro una nota come questa e inviarla a utenti casuali. Come Phipps ha notato in un altro tweet, sarebbe "difficile dirlo subito". Ci sono state notizie su Twitter che una campagna di spam potrebbe essere già in corso.
Se ricevi un'email che ti chiede di reimpostare la password di Twitter, prenditi un secondo per accedere manualmente al sito di Twitter e fare clic sul link "Password dimenticata". Se devi fare clic su un collegamento in un'e-mail, almeno fai clic su un collegamento nell'e-mail che hai richiesto.
Whodunnit? Chissà?
Lord non ha speculato su chi potrebbe essere stato dietro gli attacchi.
"Questo attacco non è stato opera di dilettanti e non crediamo che sia stato un episodio isolato. Gli aggressori sono stati estremamente sofisticati e crediamo che anche altre società e organizzazioni siano state attaccate allo stesso modo di recente", ha scritto Lord.
Tuttavia, il post di Lord ha menzionato gli attacchi contro il New York Times dalla Cina di questa settimana e la recente consulenza del Dipartimento per la sicurezza interna che raccomanda agli utenti di disabilitare Java nei loro browser. Mentre si dice che Twitter utilizza Java nella sua infrastruttura, non sembrano esserci applet Java sul sito stesso, quindi la raccomandazione di disabilitare Java nel browser è sconcertante in questo contesto.
Twitter ha affermato che le forze dell'ordine federali e i funzionari governativi stanno indagando sull'incidente.