Video: Twitter verwijderen of deactiveren? Dat doe je zo! - Frankwatching (November 2024)
Als je een van de 250.000 Twitter-gebruikers bent die vrijdag de e-mail voor het opnieuw instellen van het wachtwoord hebben ontvangen, heb je hopelijk je wachtwoord al gewijzigd. Als u apps van derden gebruikt om op Twitter te posten, is het mogelijk dat die apps nog steeds uw oude inloggegevens gebruiken. Maak de installatie van de apps ongedaan en installeer deze opnieuw.
Zoals we dit weekend op SecurityWatch hebben gemeld, hebben aanvallers gebruikersnamen, e-mailadressen, sessietokens en gezouten en gehashte wachtwoorden gestolen. Sessie tokens zijn speciale type cryptografische cookies die de microblogging-site informeren dat de gebruiker al is ingelogd. Zolang de sessie token nog geldig is (niet verlopen, ingetrokken of verwijderd), kunnen gebruikers teruggaan naar Twitter zonder opnieuw in te loggen in elke keer.
Het intrekken van deze sessietokens, zoals Twitter zei, zorgt ervoor dat aanvallers die erin zijn geslaagd de tokens te onderscheppen, geen toegang hebben tot uw account. Gezien de hoeveelheid gegevensverwijderende malware die cookies van geïnfecteerde computers verzamelt, is het resetten van het token ongemakkelijk voor gebruikers (omdat ze opnieuw moeten inloggen) maar effectief om de aanvallers buiten te houden.
Apps kunnen inloggen
Er zijn echter meldingen dat sommige van de tokens die door apps van derden werden gebruikt, niet werden beïnvloed. Het maken van een nieuw wachtwoord na ontvangst van de resetmelding verhinderde niet dat Twitter's eigen mobiele apps of desktopclients zoals TweetDeck nieuwe berichten konden indienen, meldde het register. Onze eigen Max Eddy zei dat hij het wachtwoord voor zijn Twitter-accounts in het weekend moest veranderen, maar geen van de apps van derden die hij gebruikte, vroeg hem om het wachtwoord bij te werken met de nieuwere.
Apps die de Twitter API gebruiken, vertrouwen meestal op OAuth, een open standaard voor authenticatie op meerdere sites. De sessietokens die Twitter heeft ingetrokken, lijken geen invloed te hebben gehad op apps die OAuth hebben gebruikt om authenticatie af te handelen. Eén persoon vertelde The Register dat de apps niet om het nieuwe wachtwoord vroegen totdat het werd verwijderd en opnieuw werd geïnstalleerd.
"Wanneer een wachtwoord op één apparaat wordt gewijzigd en u hebt twee andere apparaten aangemeld met het oude wachtwoord (bijvoorbeeld), moet de verkoper alle open sessies voor het opgegeven account beëindigen, " vertelde Sean Duca van McAfee aan het register.
Apps die OAuth gebruiken, ontvangen een cryptografische sessiesleutel de eerste keer dat deze zich bij de webservice verifieert en stuurt de sleutels bij volgende bezoeken, vertelde Cesar Cerrudo, CTO van IOActive Labs, SecurityWatch. Hierdoor kunnen apps van derden met de betreffende service werken zonder herhaaldelijk de wachtwoordinformatie te verzenden.
Cerrudo had nog niet naar deze specifieke situatie gekeken en bood dus geen gissingen over wat er aan de hand was. SecurityWatch heeft contact opgenomen met Twitter over hoe het OAuth-sessies behandelt en wacht op een reactie.
Volgens het beleid vervalt Twitter momenteel niet "toegangstokens", volgens de richtlijnen van het bedrijf voor ontwikkelaars bij het gebruik van OAuth. "Uw toegangstoken is ongeldig als een gebruiker uw toepassing expliciet van zijn instellingen afwijst of als een Twitter-beheerder uw toepassing opschort", aldus de handleiding.
Dit zou het tweede OAuth-gerelateerde incident met Twitter in de afgelopen weken zijn. Cerrudo riep Twitter onlangs uit om gebruikers niet op de hoogte te stellen van een probleem met de machtiging dat het stilletjes had opgelost.
Volg haar op Twitter @zdFYRashid voor meer informatie over Fahmida.
