Video: The Big Twitter Hack - What Happened? (September 2024)
Angripare kan ha fått tillgång till 250 000 konton på Twitter, säger mikrobloggsidan. Det är dags att ändra ditt lösenord… igen.
Webbplatsens säkerhetsteam identifierade flera åtkomstförsök av obehöriga personer att komma åt användardata den här veckan, skrev Bob Lord, chef för informationssäkerhet, på Twitter-bloggen på fredag eftermiddag. Företaget avslöjade också "en levande attack" och stängde den medan den fortfarande pågår ögonblick senare, sa Lord.
Vidare utredning avslöjade att angriparna kunde få åtkomst till en delmängd användardata, inklusive användarnamn, e-postadresser, sessionstoken och krypterade / saltade lösenord, tillhörande cirka 250 000 användare, medgav Twitter i inlägget. Lord lämnade inte någon ytterligare information om säkerhetsöverträdelsen, och han sa inte heller om någon av de exponerade kontona hade fått tillgång till olagligt.
"Som en säkerhetsåtgärd har vi återställt lösenord och återkallat sessionstecken för dessa konton, " skrev Lord.
Paul Ducklin på Sophos förklarar vad angripare kan göra med stulna sessionstoken på NakedSecurity-bloggen.
Återställ lösenord!
Efter återställning av de exponerade lösenorden meddelade Twitter berörda användare via e-post för att skapa ett nytt lösenord. E-postmeddelandena rekommenderade användare att välja ett starkt lösenord - minst 10 tecken och inte återanvändas på någon annan webbplats eller konton - för att skydda sig. Naturligtvis är ett lösenord längre än 10 tecken också bättre.
Om användaren hade ett svagt lösenord skulle det faktum att Twitter hade saltat och krypterat lösenorden inte vara till stor hjälp, eftersom angripare kan använda olika lösenordskrackningsverktyg för att ta reda på vad den ursprungliga lösenordssträngen var. Och om användare hade använt samma lösenord för andra webbplatser på nätet, är det nycklarna till användarens identitetsrik, precis där.
Meddelandets e-postmeddelande från Twitter är minst sagt kryptisk. Den nämner inte attacken alls, och den länkar inte heller till själva blogginlägget. Den informerar bara användaren om lösenordet kan ha äventyrats och erbjuder användaren en länk att klicka på för att återställa lösenordet. Det finns andra länkar till andra delar av webbplatsen i e-postmeddelandet.
Brevet "hade alla kännetecknen för ett phishing-e-post", skrev Twitter-användaren Simon Phipps. "Användare bör INTE utbildas att acceptera detta, " tillade han.
Vi på SecurityWatch har sagt det tidigare och vi kommer att säga det igen: Klicka inte på länkar i e-postmeddelanden. Vem som helst kan håna en anteckning som denna och skicka den till slumpmässiga användare. Som Phipps noterade i en annan tweet, skulle det vara "svårt att berätta direkt." Det fanns rapporter på Twitter om att en spam-kampanj redan kan pågå.
Om du får ett e-postmeddelande som ber dig återställa ditt Twitter-lösenord, ta bara en sekund för att manuellt gå till Twitter's webbplats och klicka på länken "Glömt lösenord". Om du måste klicka på en länk i ett e-postmeddelande, åtminstone klicka på en länk i det e-postmeddelande du begärde.
Whodunnit? Vem vet?
Lord spekulerade inte i vem som kan ha stått bakom attackerna.
"Denna attack var inte amatörernas arbete, och vi tror inte att det var en isolerad incident. Angriparna var extremt sofistikerade, och vi tror att andra företag och organisationer också nyligen har attackerats på liknande sätt, " skrev Lord.
Men Lord's post nämnde attackerna mot New York Times från Kina den här veckan och den senaste rådgivningen från Department of Homeland Security rekommenderade användare att inaktivera Java i sina webbläsare. Medan Twitter rapporteras använda Java i sin infrastruktur verkar det inte finnas några Java-appletar på själva webbplatsen, så rekommendationen att inaktivera Java i webbläsaren är förbryllande i detta sammanhang.
Den federala brottsbekämpningen och myndigheterna undersöker händelsen, sa Twitter.
