Twitter的黑客攻击,至少有25万用户受到影响:你可以做些什么来保护自己

哎哟。 Hyperpopular微博的事情,Twitter是最新的网络属性承认入侵者似乎已经徘徊了一段时间围绕其网络。

本周早些时候,无论是纽约时报“,”华尔街日报推出了类似的启示

具有讽刺意味的是,即使是最迂的读者是不会错过,微博发表了博客文章,题为保护我们的用户的安全

这个星期,我们发现了不寻常的访问模式,导致我们识别未经授权的访问尝试,Twitter的用户数据 ​​。我们发现一个活的攻击,并能够将其关闭过程中时刻。然而,迄今为止,我们的调查表明,攻击者可能已经获得有限的用户信息-用户名,电子邮件地址,会话令牌和密码的加密/盐渍版本的-大约25万用户。

文章接着说,该公司已经“重新设置密码和撤销的会话令牌”,它认为受到影响的帐户。

会话令牌是一个一次性的密码,您的浏览器提交给Twitter每次重新访问该网站,一旦你登录,这样你就不会需要输入您的用户名和密码,一遍又一遍的cookie。

我们的想法是,当您关闭浏览器,或按一下Twitter的注销选项时,cookie将被删除从您的浏览器和服务器,所以你将不得不重新进行身份验证。

骗子谁偷了你的密码盐可以使教育,离线猜测你的密码,尝试流行的密码( 以极快的速度在现代密码破解工具包),但如果你选择了一个体面的密码,但一事无成。

从理论上讲,一个骗子谁偷了你的会话令牌可以接管您的帐户,至少要等到他下注销。

链接到Twitter还建议如何关闭您的浏览器中的Java ,但实际上并没有说是否激活您的浏览器中的Java有什么做打破Twitter的网络。

一个Twitter管理员的计算机上的一个客户端的漏洞可能会产生这样的结果,但它是很难看到如何在您的客户端漏洞可能会导致在Twitter服务器端的数据库妥协:

从美国国土安全部和安全专家,以鼓励用户在他们的计算机上禁用Java在浏览器中,我们也回应了咨询。

(似乎是Twitter了对整个Java的第一个,然后缩减的意见,您的浏览器只踢出来,不卸载它完全。相匹配的切斯特,我给的建议,在我们最近的播客 )。

仍然是一个悬而未决的问题,在这里筏。他们是如何得到的?为什么这么久未被发现?他们是谁?他们怎么得到的?使用超出了最初的250000什么影响呢?等等。

Twitter的是相当开放的,所以我的倾向是把他们的意见,面值。

  • 如果你是用你的Twitter密码,其他任何地方……你知道该怎么做。更改密码, 不要做了
  • 如果您使用的是短或容易猜测的密码,改变他们, 不要再那么做了
  • 如果你有Java在浏览器中,你是不是已经100%肯定,你需要它, 把它关掉
  • 不要停留,当你不积极使用这些登录Twitter之类的服务。这使得它不太可能是您的会话将被劫持的。这也意味着你不会忘记你登录并点击/喜欢/发布/批准的东西,你真的不打算。

以上措施会保护你主动,即使你是一个洒通过Twitter的用户的数据:长密码的意思是,他们很容易被破解一次散列,定期注销您的会话Cookie有效时间较短,。