Video: 👑 Guld Revolver Flæk = 250.000$ 👑 - GTA V Online EP11 (Oktober 2024)
Angribere kan have fået adgang til 250.000 konti på Twitter, sagde mikroblogging-webstedet. Det er tid til at ændre dit kodeord… igen.
Webstedets sikkerhedsteam identificerede flere adgangsforsøg fra uautoriserede personer til at få adgang til brugerdata denne uge, skrev Bob Lord, direktør for informationssikkerhed, på Twitter-bloggen fredag eftermiddag. Virksomheden afslørede også "et levende angreb" og lukkede det ned, mens det stadig var i gang øjeblikke senere, sagde Lord.
Yderligere undersøgelse afslørede, at angribere var i stand til at få adgang til en undergruppe af brugerdata, herunder brugernavne, e-mail-adresser, sessionstokens og krypterede / saltede adgangskoder, der tilhørte cirka 250.000 brugere, kvitterede Twitter i indlægget. Lord fremsatte ingen yderligere oplysninger om sikkerhedsovertrædelsen, og han sagde heller ikke, om nogen af de eksponerede konti var blevet adgang til ulovligt.
"Som en sikkerhedsforanstaltning har vi nulstillet adgangskoder og tilbagekaldt sessionstoken for disse konti, " skrev Lord.
Paul Ducklin ved Sophos forklarer, hvad angribere kan gøre med stjålet sessionstoken på NakedSecurity-bloggen.
Nulstil adgangskoder!
Efter nulstilling af de eksponerede adgangskoder underrettede Twitter berørte brugere via e-mail om at oprette en ny adgangskode. Den e-mail-anbefalede brugere vælger en stærk adgangskode - mindst 10 tegn og genbruges ikke på noget andet sted eller konti - for at beskytte sig selv. Selvfølgelig er en adgangskode længere end 10 tegn også bedre.
Hvis brugeren havde en svag adgangskode, ville det faktum, at Twitter havde saltet og krypteret adgangskoder, ikke være meget hjælp, da angribere kan bruge forskellige adgangskodekraftsværktøjer til at finde ud af, hvad den oprindelige adgangskodestreng var. Og hvis brugerne havde brugt den samme adgangskode til andre sider online, er det nøglerne til brugerens identitetsrig, lige der.
Meddelelses-e-mailen fra Twitter er mildest sagt kryptisk. Det nævner overhovedet ikke angrebet, og det linker heller ikke til det faktiske blogindlæg. Det informerer bare brugeren om, at adgangskoden kan være kompromitteret, og tilbyder brugeren et link til at klikke på for at nulstille adgangskoden. Der er et andet link til andre dele af siden i e-mailen.
Brevet "havde alle kendetegnene for en phishing-e-mail", skrev Twitter-bruger Simon Phipps. ”Brugere skal IKKE blive trænet til at acceptere dette, ” tilføjede han.
Vi i SecurityWatch har sagt det før, og vi siger det igen: Klik ikke på links i e-mails. Alle kan håne en note som denne og sende den til tilfældige brugere. Som Phipps bemærkede i en anden tweet, ville det være "svært at fortælle med det samme." Der var rapporter på Twitter om, at en spam-kampagne muligvis allerede er i gang.
Hvis du modtager en e-mail, der beder dig om at nulstille din Twitter-adgangskode, skal du bare tage et sekund for manuelt at gå til Twitter's site og klikke på linket "Glemt adgangskode". Hvis du skal klikke på et link i en e-mail, skal du mindst klikke på et link i den e-mail, du anmodede om.
Whodunnit? Hvem ved?
Lord spekulerede ikke i, hvem der måske har været bag angrebene.
"Dette angreb var ikke amatørers arbejde, og vi tror ikke, det var en isoleret hændelse. Angriberne var ekstremt sofistikerede, og vi mener, at andre virksomheder og organisationer også for nylig er blevet angrebet på lignende måde, " skrev Lord.
Lord's post omtalte imidlertid angrebene mod New York Times fra Kina i denne uge og den nylige rådgivning fra Department of Homeland Security, der anbefalede brugere at deaktivere Java i deres browsere. Selvom Twitter rapporteres at bruge Java i sin infrastruktur, ser det ikke ud til at være nogen Java-applets på selve webstedet, så anbefalingen om at deaktivere Java i browseren er forundrende i denne sammenhæng.
Den føderale retshåndhævelse og embedsmænd undersøger hændelsen, sagde Twitter.
