Video: VAN WELKE BANKZITTER IS DEZE TWEET?! (November 2024)
Aanvallers hebben mogelijk toegang gekregen tot 250.000 accounts op Twitter, zei de microblogging-site. Het is tijd om uw wachtwoord te wijzigen… opnieuw.
Het beveiligingsteam van de site identificeerde meerdere toegangspogingen door onbevoegde personen om deze week toegang te krijgen tot gebruikersgegevens, schreef de Bob Lord, directeur informatiebeveiliging, vrijdagmiddag op het Twitter-blog. Het bedrijf ontdekte ook "één live aanval" en sloot het af terwijl het nog steeds bezig was, zei Lord.
Nader onderzoek wees uit dat aanvallers toegang konden krijgen tot een subset van gebruikersgegevens, waaronder gebruikersnamen, e-mailadressen, sessietokens en gecodeerde / gezouten wachtwoorden van ongeveer 250.000 gebruikers, gaf Twitter toe in de post. Lord heeft geen aanvullende informatie verstrekt over de inbreuk op de beveiliging, noch heeft hij gezegd of een van de blootgestelde accounts illegaal is benaderd.
"Als voorzorgsmaatregel hebben we wachtwoorden gereset en sessietokens voor deze accounts ingetrokken, " schreef Lord.
Paul Ducklin bij Sophos legt uit wat aanvallers kunnen doen met gestolen sessietoken op de NakedSecurity-blog.
Reset wachtwoorden!
Na het resetten van de blootgestelde wachtwoorden, heeft Twitter de betreffende gebruikers per e-mail op de hoogte gebracht om een nieuw wachtwoord te maken. De e-mail aanbevolen gebruikers selecteren een sterk wachtwoord - minimaal 10 tekens en niet hergebruikt op andere sites of accounts - om zichzelf te beschermen. Natuurlijk is een wachtwoord langer dan 10 tekens ook beter.
Als de gebruiker een zwak wachtwoord had, zou het feit dat Twitter de wachtwoorden had gezouten en gecodeerd niet veel helpen, omdat aanvallers verschillende tools voor het kraken van wachtwoorden kunnen gebruiken om erachter te komen wat de oorspronkelijke wachtwoordreeks was. En als gebruikers hetzelfde wachtwoord voor andere sites online hadden gebruikt, zijn dat de sleutels tot het identiteitsrijk van de gebruiker, precies daar.
De meldingse-mail van Twitter is op zijn zachtst gezegd cryptisch. Het vermeldt de aanval helemaal niet, noch verwijst het naar de eigenlijke blogpost. Het informeert de gebruiker alleen dat het wachtwoord mogelijk is gecompromitteerd en biedt de gebruiker een link om op te klikken om het wachtwoord opnieuw in te stellen. Er zijn andere links naar andere delen van de site in de e-mail.
De brief 'had alle kenmerken van een phishing-e-mail', schreef Twitter-gebruiker Simon Phipps. "Gebruikers moeten NIET worden getraind om dit te accepteren, " voegde hij eraan toe.
Wij bij SecurityWatch hebben het al eerder gezegd en we zullen het nog een keer zeggen: klik niet op links in e-mails. Iedereen kan zo'n notitie bespotten en naar willekeurige gebruikers sturen. Zoals Phipps in een andere tweet opmerkte, zou het 'moeilijk te zeggen zijn'. Er waren berichten op Twitter dat er mogelijk al een spamcampagne aan de gang was.
Als je een e-mail ontvangt waarin je wordt gevraagd je Twitter-wachtwoord opnieuw in te stellen, neem dan even de tijd om handmatig naar de Twitter-site te gaan en klik op de link "Wachtwoord vergeten". Als u op een link in een e-mail moet klikken, klikt u minimaal op een link in de e-mail die u hebt opgevraagd.
Whodunnit? Wie weet?
Lord speculeerde niet over wie er achter de aanslagen zou hebben gestaan.
"Deze aanval was niet het werk van amateurs, en wij geloven niet dat het een op zichzelf staand incident was. De aanvallers waren uiterst geavanceerd en wij geloven dat andere bedrijven en organisaties ook recentelijk op dezelfde manier zijn aangevallen, " schreef Lord.
Lord's post noemde echter de aanvallen op de New York Times uit China deze week en het recente advies van het Department of Homeland Security beveelt gebruikers aan Java in hun browsers uit te schakelen. Hoewel wordt gemeld dat Twitter Java in zijn infrastructuur gebruikt, lijken er op de site zelf geen Java-applets te zijn, dus de aanbeveling om Java in de browser uit te schakelen, is in dit verband een raadsel.
Federale wetshandhaving en overheidsfunctionarissen onderzoeken het incident, zei Twitter.
