This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Twitter的黑客攻击,至少有25万用户受到影响:你可以做些什么来保护自己

Filed Under: Data loss, Featured, Privacy, Twitter

哎哟。 Hyperpopular微博的事情,Twitter是最新的网络属性承认入侵者似乎已经徘徊了一段时间围绕其网络。

本周早些时候,无论是纽约时报“,”华尔街日报推出了类似的启示

具有讽刺意味的是,即使是最迂的读者是不会错过,微博发表了博客文章,题为保护我们的用户的安全

这个星期,我们发现了不寻常的访问模式,导致我们识别未经授权的访问尝试,Twitter的用户数据 ​​。我们发现一个活的攻击,并能够将其关闭过程中时刻。然而,迄今为止,我们的调查表明,攻击者可能已经获得有限的用户信息-用户名,电子邮件地址,会话令牌和密码的加密/盐渍版本的-大约25万用户。

文章接着说,该公司已经“重新设置密码和撤销的会话令牌”,它认为受到影响的帐户。

会话令牌是一个一次性的密码,您的浏览器提交给Twitter每次重新访问该网站,一旦你登录,这样你就不会需要输入您的用户名和密码,一遍又一遍的cookie。

我们的想法是,当您关闭浏览器,或按一下Twitter的注销选项时,cookie将被删除从您的浏览器和服务器,所以你将不得不重新进行身份验证。

骗子谁偷了你的密码盐可以使教育,离线猜测你的密码,尝试流行的密码( 以极快的速度在现代密码破解工具包),但如果你选择了一个体面的密码,但一事无成。

从理论上讲,一个骗子谁偷了你的会话令牌可以接管您的帐户,至少要等到他下注销。

链接到Twitter还建议如何关闭您的浏览器中的Java ,但实际上并没有说是否激活您的浏览器中的Java有什么做打破Twitter的网络。

一个Twitter管理员的计算机上的一个客户端的漏洞可能会产生这样的结果,但它是很难看到如何在您的客户端漏洞可能会导致在Twitter服务器端的数据库妥协:

从美国国土安全部和安全专家,以鼓励用户在他们的计算机上禁用Java在浏览器中,我们也回应了咨询。

(似乎是Twitter了对整个Java的第一个,然后缩减的意见,您的浏览器只踢出来,不卸载它完全。相匹配的切斯特,我给的建议,在我们最近的播客 )。

仍然是一个悬而未决的问题,在这里筏。他们是如何得到的?为什么这么久未被发现?他们是谁?他们怎么得到的?使用超出了最初的250000什么影响呢?等等。

Twitter的是相当开放的,所以我的倾向是把他们的意见,面值。

  • 如果你是用你的Twitter密码,其他任何地方......你知道该怎么做。更改密码, 不要做了
  • 如果您使用的是短或容易猜测的密码,改变他们, 不要再那么做了
  • 如果你有Java在浏览器中,你是不是已经100%肯定,你需要它, 把它关掉
  • 不要停留,当你不积极使用这些登录Twitter之类的服务。这使得它不太可能是您的会话将被劫持的。这也意味着你不会忘记你登录并点击/喜欢/发布/批准的东西,你真的不打算。

以上措施会保护你主动,即使你是一个洒通过Twitter的用户的数据:长密码的意思是,他们很容易被破解一次散列,定期注销您的会话Cookie有效时间较短,。

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog