This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Preguntas y respuestas sobre el hack Twitter

Filed Under: Featured, Privacy, Vulnerability

Twitter bird He estado hablando con los medios de comunicación hoy en día sobre el hack de Twitter que vio las credenciales de los cerca de 250.000 usuarios recogida por los ciberdelincuentes.

Durante el día, las mismas preguntas que han sido surgiendo - y pensé que sería útil hacer una breve cubrirlos aquí.

¿Qué hicieron los hackers robar?

De acuerdo a un post del blog de ​​Twitter, los hackers robaron nombres de usuarios, direcciones de correo electrónico, los tokens de sesión y salada-y-hashed contraseñas (que sin duda es mejor noticia que si hubieran robado las contraseñas de texto plano).

¿Qué podría hacer que los hackers con esa información?

Un par de cosas:

  • Los hackers podrían spam a las direcciones de correo electrónico, haciéndose pasar por Twitter y tal vez engañarlo para que haga clic en un enlace o abrir un archivo adjunto. De esta manera se puede robar información de su parte.
  • Podrían destinatarios específicos los usuarios de Twitter (que ahora sabe la dirección de correo electrónico asociada con cada una de las cuentas afectadas) y elaborar un correo electrónico diseñado para engañar al usuario de alguna manera - potencialmente a hacer clic en un enlace o archivo adjunto peligroso - tal vez fingiendo ser otra persona .
  • Uso de la señal de sesión robados podían, en teoría, secuestrar su cuenta, por lo menos hasta que el usted o el hacker próxima sesión.
  • Se podría tratar de descifrar las contraseñas, mediante el establecimiento de equipos grandes y los diccionarios de contraseñas de uso común contra el problema. Si alguna de las contraseñas están agrietados, los hackers podrían intentar para ver si las mismas contraseñas también desbloquear las víctimas * Otros * Cuentas (como su dirección de correo electrónico).

¿Quién está detrás del ataque hack en Twitter?

No lo sé. Twitter ha tenido sus sistemas internos hackeado en el pasado (infame, por ejemplo, las cuentas de la celebridad fueron secuestrados después de un Twitter employeewas encontrado por los hackers para utilizar una contraseña muy débil - "felicidad" ). Normalmente, los ataques en contra de las cuentas individuales con la intención de difundir enlaces dieta de spam o maliciosos, en lugar de contra los sistemas de Twitter mismos.

He escuchado informes de prensa que vinculan el hack Twitter con el ataque contra el New York Times y otros periódicos que ha sido atribuidos a China. ¿Era el chino que hackeado Twitter?

Aunque Twitter hace referencia a los recientes ataques de alto perfil en los periódicos, no han dicho explícitamente que ellos creen que China hackeado Twitter o presentado ninguna prueba que sugiera eso.

Si Twitter tiene toda la información que apunta un dedo acusador hacia China (por ejemplo, si los derechos humanos o disidentes cuentas de Twitter fueron blanco) no han compartido que con los medios de comunicación.

¿Cómo puedo saber si soy uno de los usuarios de Twitter que han sido afectados?

Twitter se ha enviado por correo electrónico a los usuarios afectados, restablecer contraseñas y revocar tokens de sesión. Su contraseña anterior ya no se permite en Twitter, y usted tendrá que elegir otro.

¿Qué tipo de contraseña debo usar?

Utilice siempre contraseñas que no sean fáciles de adivinar o palabras de diccionario. Que sea lo más largo posible, y utilice una combinación de letras mayúsculas y minúsculas, números y caracteres especiales.

¿Cómo se supone que voy a recordar una contraseña así?

Aquí hay un vídeo que explica cómo elegir una contraseña segura, que sea fácil de recordar pero difícil de roer todavía:

(Disfrute de este vídeo? Puede consultar más información en el canal de YouTube SophosLabs y suscribirse si lo desea)

Pero usted dice que debo tener una contraseña diferente para cada sitio web que utilizo ... ¿cómo puedo realista recordar a todos?

No se puede. Utilice el software de administración de contraseñas como KeePass, 1Password o LastPass. Ellos pueden tener sus contraseñas de forma segura, y todo lo que tiene que recordar es la contraseña maestra (que sea buena). Software de gestión de contraseña puede incluso generar contraseñas aleatorias complejas para que al crear nuevas cuentas.

¿No podría dejar que mi navegador recuerde mis contraseñas?

Los navegadores más modernos hacen oferta para guardar los nombres de usuario y contraseñas para los sitios web que visita, pero yo no lo recomiendo.

¿Por qué Twitter dicen que anima a los usuarios desactivar Java en mi navegador?

Si su navegador no está habilitado para Java o no tiene ninguna relación con que Twitter (en equipos completamente diferentes a las suyas) es capaz de ser hackeado o no. Sin embargo, vemos con frecuencia ataques basados ​​en Web que explotan los agujeros de seguridad en Java - así que, a menos que realmente lo necesite, puede ser sabio para saber cómo desactivar Java en su navegador .

Piense en ello como Twitter tratando de ser útil y de buena vecindad, en lugar de dar consejos específicos para este último ataque.

(Por supuesto, siempre es posible que los ordenadores de los empleados de Twitter se infectaron a través de una vulnerabilidad de Java. Pero no han sido propiedad hasta aquel. Otros vectores posibles por los cuales podría haber personal de Twitter sido afectados por malware incluido boobytrapped documentos de Word o archivos PDF ).

¿Cómo si no podría aprovechar el hack Twitter?

Es posible que podamos ver correos electrónicos falsos difundido fingiendo venir de Twitter. Los usuarios pueden ser engañados en la creencia de que ellos son realmente los mensajes de Twitter que les dicen que su cuenta ha sido comprometida en el hack, y haga clic en los enlaces sin pensar en las posibles consecuencias. Todos los usuarios deben estar en guardia contra los engaños de ingeniería social como esta.

¿Qué más debo hacer?

Lea este artículo de mi colega Paul Ducklin.

Manténgase seguro.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Graham Cluley runs his own award-winning computer security blog, and is a veteran of the anti-virus industry having worked for a number of security companies since the early 1990s. Now an independent security analyst, he regularly makes media appearances and gives computer security presentations. Send Graham an email, subscribe to his updates on Facebook, follow him on Twitter and App.net, and circle him on Google Plus for regular updates.