Ouch. Hyperpopular microblog tipo coisa Twitter é a propriedade mais recente web que admitir que intrusos parece ter sido vagando em torno de sua rede por algum tempo.
No início desta semana, tanto o New York Times eo Wall Street Journal saiu com revelações semelhantes .
Com uma ironia que mesmo o leitor mais literal é improvável que perca, o Twitter publicou um post no blog intitulado Mantendo nossos usuários assegurar:
Esta semana, detectamos padrões de acesso incomuns que nos levou a identificar tentativas de acesso não autorizado a dados de usuário do Twitter. Descobrimos um ataque ao vivo e foram capazes de desligá-lo em momentos de processo mais tarde. No entanto, nossa investigação até agora indicam que os atacantes podem ter tido acesso a informações do usuário limitado - nomes de usuários, endereços de email, tokens de sessão e versões criptografadas / salgado de senhas - para cerca de 250 mil usuários.
O artigo continua a dizer que a empresa tem "redefinir senhas e tokens de sessão revogados" para as contas que ele pensa que foram afetadas.
Um token de sessão é um cookie de criptografia one-off que seu navegador envia para o Twitter cada vez que você visitar o site, uma vez que você entrou, assim você não precisa digitar o seu nome de usuário e senha e outra vez.
A idéia é que, quando você sair do seu navegador ou clique Twitter opção de logout, o cookie é removido tanto do seu navegador eo servidor de modo que você será forçado a autenticar novamente.
Um bandido que rouba a sua senha de sal pode fazer suposições educadas, off-line em sua senha, tentando senhas populares ( em grande velocidade na senha moderna rachaduras kit), mas se você escolheu uma senha decente, pode, contudo, chegar a lugar algum.
Em teoria, um bandido que rouba o seu token de sessão pode ter sobre a sua conta, pelo menos até que ele ou a próxima sessão.
Twitter também links para conselhos sobre como desativar o Java no seu navegador , mas na verdade não disse se o ativação de Java no seu browser teve nada a ver com a quebra de rede do Twitter.
A vulnerabilidade do lado do cliente no computador de um administrador do Twitter pode produzir tal resultado, mas é difícil ver como vulnerabilidades no seu cliente poderia levar a um comprometimento do banco de dados do lado do servidor no Twitter:
Nós também ecoam a assessoria do Departamento de Segurança Interna dos EUA e especialistas em segurança para incentivar os usuários a desativar o Java
em seus computadoresem seus navegadores.
(Parece que o Twitter teve contra toda a Java em primeiro lugar, em seguida, reduziu seu conselho de chutá-lo para fora do seu navegador apenas, não para desinstalá-lo completamente. Que coincide com o conselho a Chester e eu dei em nossa recente podcast ).
Ainda uma jangada de perguntas não respondidas aqui. Como eles entraram? Por despercebido por tanto tempo? Quem eram eles? O que eles conseguiram? São usos além do inicial 250.000 afetados? E assim por diante.
Twitter sendo muito aberta sobre isso, por isso a minha inclinação é para tomar o seu conselho pelo valor de face.
- Se você estivesse usando sua senha do Twitter em qualquer outro lugar ... você sabe o que fazer. Altere as senhas de outros e não fazer isso de novo.
- Se você estiver usando senhas curtas ou facilmente adivinhado, alterá-los e não fazer isso de novo.
- Se você tem o Java em seu navegador e você ainda não está 100% certo de que você precisar, desligue-o .
- Não fique conectado a serviços como o Twitter quando você não está usando ativamente deles. Isso faz com que seja menos provável que a sessão será sequestrado. Isso também significa que você não vai esquecer que está conectado e clique / gosto / post / aprovar algo que você realmente não pretendo.
As precauções acima teria protegido você de forma proativa, mesmo se você fosse um dos usuários cujos dados foram derramados pelo Twitter: senhas longas significa que eles são mais difíceis de quebrar uma vez hash, regular sair significa que os cookies de sessão são válidos por períodos mais curtos.
