This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Twitter hackeado, por lo menos 250.000 usuarios afectados: lo que usted puede hacer para protegerse

Filed Under: Data loss, Featured, Privacy, Twitter

Ouch. Hyperpopular microblog tipo de cosa Twitter es la propiedad última web que admitir que los intrusos parece haber estado vagando alrededor de su red por algún tiempo.

A principios de esta semana, tanto el New York Times y el Wall Street Journal salió con revelaciones similares .

Con una ironía que incluso el lector más literal-mente no es probable que se pierda, Twitter publicó un post titulado Mantener a nuestros usuarios obtener:

Esta semana, hemos detectado patrones inusuales de acceso que nos condujeron a la identificación de los intentos de acceso no autorizado a los datos de usuario de Twitter. Descubrimos un ataque directo y fueron capaces de cerrar en los momentos del proceso posterior. Sin embargo, nuestra investigación ha indicado hasta ahora que los atacantes pudieron haber tenido acceso a la información de usuario limitada - nombres de usuarios, direcciones de correo electrónico, los tokens de sesión y versiones encriptadas / salado de contraseñas - por unos 250.000 usuarios.

El artículo continúa diciendo que la compañía tiene "restablecer contraseñas y revocar tokens de sesión" para las cuentas que se cree fueron afectadas.

Un token de sesión es una cookie criptográfica única que su navegador envía a Twitter cada vez que vuelva a visitar el sitio una vez que hayas ingresado, por lo que no es necesario que introduzca su nombre de usuario y contraseña una y otra vez.

La idea es que cuando salga del navegador, o haga clic en la opción de cierre de sesión de Twitter, la cookie se elimina tanto desde el navegador y el servidor para que se verá obligado a volver a autenticar.

Un ladrón que roba tu contraseña sal puede hacer conjeturas, sin conexión a la contraseña al intentar contraseñas populares ( a gran velocidad en la contraseña moderno agrietamiento kit), pero si se ha elegido una contraseña decente, sin embargo, puede llegar a ninguna parte.

En teoría, un ladrón que roba su token de sesión puede hacerse cargo de su cuenta, por lo menos hasta que él o su próxima sesión.

Twitter también se vincula al asesoramiento sobre cómo desactivar Java en su navegador , pero en realidad no dijo si la activación de Java en su navegador tenido nada que ver con la ruptura de la red de Twitter.

Una vulnerabilidad en el cliente en la computadora del administrador de Twitter podría producir ese resultado, pero es difícil ver cómo las vulnerabilidades en el cliente podría conducir a un compromiso de base de datos del lado del servidor en Twitter:

También se hacen eco de la advertencia de los EE.UU. Departamento de Seguridad Nacional y expertos en seguridad para alentar a los usuarios desactivar Java en sus computadoras en sus navegadores.

(Parece que Twitter tomó en contra de la totalidad de Java al principio, luego redujo su recomendación para expulsar de su navegador sólo, no para desinstalar por completo. Esto coincide con el asesoramiento Chester y yo dimos en nuestro podcast reciente .)

Sin embargo una serie de preguntas sin respuesta aquí. ¿Cómo entraron? ¿Por qué no detectado durante tanto tiempo? ¿Quiénes eran? ¿Qué se llevaron? ¿Está usos más allá del inicial 250.000 afectados? Y así sucesivamente.

Twitter es muy abierta acerca de esto, así que mi inclinación es tomar su consejo en serio.

  • Si estaba utilizando su contraseña de Twitter en cualquier otro lugar ... ya sabes qué hacer. Cambiar las contraseñas de otros y no vuelvas a hacer eso.
  • Si está utilizando contraseñas cortas o fáciles de adivinar, cambiarlos y no lo vuelvas a hacer.
  • Si tiene Java en su navegador y usted no está 100% seguro ya que lo necesite, lo apaga .
  • No permanezca conectado a servicios como Twitter, cuando no la esté usando. Eso hace que sea menos probable que la sesión sea secuestrada. También significa que usted no se olvidará de que está conectado y haga clic en / como / post / aprobar algo que en realidad no pretendo.

Las precauciones anteriores le habría protegido de forma proactiva, incluso si usted fue uno de los usuarios cuyos datos se derramó por Twitter: contraseñas largas significa que sean más difíciles de descifrar hash una vez, regular logout significa que sus cookies de sesión son válidas por períodos más cortos.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog