This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

اخترق تويتر، لا يقل عن 250،000 المستخدمين المتضررين: ما يمكنك القيام به لحماية نفسك

Filed Under: Data loss, Featured, Privacy, Twitter

أوتش. Hyperpopular المدونات الصغيرة من نوع-شيء تويتر هو ملك آخر على شبكة الإنترنت أن نعترف بأن المتسللين يبدو أنه قد تم يتجول شبكتها لبعض الوقت.

في وقت سابق من هذا الأسبوع، وجاء كل من نيويورك تايمز ووول ستريت جورنال خارجا مع الكشف مماثلة .

مع المفارقة أنه حتى القارئ الأكثر حرفية في التفكير من غير المرجح أن يغيب وتويتر نشرت بلوق وظيفة بعنوان حفظ مستخدمينا تأمين:

هذا الأسبوع، اكتشفنا أنماط غير عادية الوصول التي أدت إلى تحديد لنا محاولات الوصول غير المصرح به إلى بيانات المستخدم التغريد. اكتشفنا هجوم واحد يعيش وتمكنوا من إغلاقها في لحظات عملية لاحقة. ومع ذلك، تحقيقاتنا حتى الآن تشير إلى أن المهاجمين قد تمكنوا من الوصول إلى معلومات المستخدم محدودة - أسماء المستخدمين وعناوين البريد الإلكتروني، ورموز مشفرة الدورة والإصدارات / المملحة من كلمات السر - لحوالي 250،000 المستخدمين.

المقالة وغني عن القول أن الشركة لديها "إعادة تعيين كلمات المرور والرموز الدورة إلغاء" لحسابات أنه يعتقد تأثرت.

A رمزية الدورة هو تعريف الارتباط التشفير لمرة واحدة أن يقدم المتصفح لتويتر في كل مرة تقوم بزيارة موقع بمجرد تسجيل الدخول، لذلك لا تحتاج إلى إدخال اسم المستخدم وكلمة المرور مرارا وتكرارا.

والفكرة هي أنه عند خروج المتصفح الخاص بك، أو انقر على تويتر خروج الخيار، تتم إزالة ملف تعريف الارتباط من المتصفح على حد سواء وخادم لذلك سوف تضطر إلى reauthenticate.

ويمكن لالمحتال الذي يسرق كلمة السر الخاصة بك جعل الملح المتعلمين، التخمينات حاليا في كلمة المرور الخاصة بك عن طريق محاولة كلمات المرور شعبية ( بسرعة كبيرة على كلمة السر تكسير طقم الحديثة)، ولكن إذا كنت قد اخترت كلمة مرور لائقة، ومع ذلك قد تحصل في أي مكان.

من الناحية النظرية، يمكن أن المحتال الذي يسرق الرمز المميز الدورة تولي حسابك، على الأقل إلى أن تقوم بتسجيل الدخول أو الخروج المقبل.

تويتر يربط أيضا إلى نصائح حول كيفية إيقاف تشغيل جافا في المتصفح ، ولكن في الواقع لا يقول ما إذا كان تفعيل جافا في المتصفح لها أي علاقة مع كسر لشبكة التغريد.

ويمكن لضعف من جانب العميل على جهاز الكمبيوتر المسؤول عن التغريد إنتاج مثل هذه النتيجة، ولكن من الصعب أن نرى كيف نقاط الضعف في العميل الخاص بك يمكن أن يؤدي إلى حل وسط قاعدة البيانات من جانب الخادم في تويتر:

ونحن نردد أيضا الاستشارية من وزارة الامن الداخلي الامريكية وخبراء الأمن لتشجيع المستخدمين على تعطيل جافا على أجهزة الكمبيوتر الخاصة بهم في المتصفحات.

(يبدو أن تويتر استغرق ضد كل من جافا في البداية، تدرج في ذلك الوقت مشورتها لركلة بها من المتصفح فقط، وليس لإلغاء تماما. يطابق المشورة تشيستر وأعطى لدينا في بودكاست الأخيرة .)

لا تزال مجموعة من الأسئلة لم يتم الرد عليها هنا. كيف أنها لم تحصل في؟ لماذا لم يتم كشفها لفترة طويلة؟ فمن هم؟ ما لم تحصل؟ من الاستخدامات خارج 250،000 الأولي تتأثر؟ وهكذا دواليك.

في تويتر الانفتاح جدا عن هذا، لذلك الميل إلى بلدي تأخذ رأيهم في ظاهرها.

  • إذا كنت تستخدم كلمة المرور الخاصة بك في أي مكان آخر ... تويتر كنت تعرف ماذا تفعل. تغيير كلمات المرور الأخرى، والتي لا تفعل مرة أخرى.
  • إذا كنت تستخدم كلمات السر يسهل تخمينها أو قصيرة، وتغييرها لا تفعل ذلك مرة أخرى.
  • إذا كان لديك جافا في المتصفح على ولم تكن بالفعل 100٪ على يقين كنت في حاجة إليها، إيقاف تشغيله .
  • لا يبقى تسجيل الدخول إلى خدمات مثل تويتر عندما كنت لا تستخدم بنشاط لهم. أن يجعل من غير المحتمل أن يتم اختطاف الجلسة. وهذا يعني أيضا أنك لن تنسى تسجيل دخولك في وانقر / مثل / ما بعد / الموافقة شيء كنت لا تنوي حقا.

كان حماية الاحتياطات فوقكم بشكل استباقي، حتى لو كنت أحد المستخدمين الذين تم تسرب البيانات من خلال موقع تويتر: كلمات السر طويلة يعني أنهم أكثر صعوبة للقضاء المجزأة مرة واحدة؛ العادية خروج يعني الكوكيز جلسة صالحة لفترات أقصر.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog