וִידֵאוֹ: A 5 ª Onda | Trailer 60’’ Legendado com Chloë Grace Moretz | 21 de janeiro nos cinemas (אוֹקְטוֹבֶּר 2024)
ייתכן שהתוקפים קיבלו גישה ל -250, 000 חשבונות בטוויטר, כך מסר אתר המיקרוגלוגים. הגיע הזמן לשנות את הסיסמה שלך… שוב.
צוות האבטחה של האתר זיהה ניסיונות גישה מרובים של אנשים לא מורשים לגשת לנתוני משתמשים השבוע, כתב הבוב לורד, מנהל אבטחת מידע, בבלוג הטוויטר ביום שישי אחר הצהריים. החברה חשפה גם "התקפה חיה אחת" וסגרה אותה בזמן שהיא הייתה בעיצומה רגעים אחר כך, אמר לורד.
בדיקה נוספת העלתה כי התוקפים הצליחו לגשת לקבוצת משנה של נתוני משתמשים, כולל שמות משתמש, כתובות דוא"ל, אסימוני הפעלה וסיסמאות מוצפנות / מומלחות, השייכות לכ -250, 000 משתמשים, כך הודה טוויטר בפוסט. לורד לא סיפק מידע נוסף על הפרת האבטחה, וגם לא אמר אם לגישה לחשבונות החשופים הייתה גישה לא חוקית.
"כאמצעי אבטחה זהיר, איפסנו סיסמאות וביטלנו אסימוני הפעלה עבור חשבונות אלה, " כתב לורד.
פול דוקלין בסופוס מסביר מה התוקפים יכולים לעשות עם אסימון מושב גנוב בבלוג NakedSecurity.
אפס סיסמאות!
לאחר איפוס הסיסמאות החשופות, טוויטר הודיעה למשתמשים שהושפעו באמצעות הדוא"ל ליצור סיסמא חדשה. הדוא"ל המליץ למשתמשים בחר בסיסמה חזקה - לפחות 10 תווים ולא נעשה בהם שימוש חוזר באף אתר או חשבונות אחרים - כדי להגן על עצמם. כמובן שסיסמה שאורכה יותר מעשרה תווים היא גם טובה יותר.
אם למשתמש הייתה סיסמה חלשה, העובדה שטוויטר תמכה והצפינה את הסיסמאות לא הייתה מועילה במיוחד, שכן התוקפים יכולים להשתמש בכלי פיצוח סיסמאות שונים כדי להבין מה מחרוזת הסיסמה המקורית. ואם המשתמשים השתמשו באותה סיסמה עבור אתרים אחרים ברשת, זה המפתחות לממלכת הזהות של המשתמש, ממש שם.
דוא"ל ההודעות מטוויטר הוא קריטי, בלשון המעטה. זה לא מזכיר את ההתקפה בכלל וגם לא מקשר לפרסום הבלוג בפועל. זה רק מודיע למשתמש שהסיסמה אולי נפגעה ומציע למשתמש קישור ללחיצה עליו כדי לאפס את הסיסמה. יש קישורים נוספים לחלקים אחרים באתר בדוא"ל.
למכתב "היו כל סימני ההיכר של דואר אלקטרוני מתחזה", כתב טוויטר סיימון פיפס. "אסור להכשיר משתמשים כדי לקבל זאת", הוסיף.
אנו ב- SecurityWatch אמרנו את זה בעבר ואנחנו נגיד את זה שוב: אל תלחץ על קישורים בהודעות דוא"ל. כל אחד יכול ללעוג פתק כזה ולשלוח אותו למשתמשים אקראיים. כפי שפיפס ציין בציוץ אחר, יהיה "קשה לספר מייד". היו בטוויטר דיווחים כי קמפיין ספאם עשוי כבר להיות בעיצומו.
אם אתה מקבל דוא"ל שמבקש ממך לאפס את סיסמת הטוויטר שלך, פשוט קח שנייה כדי לעבור ידנית לאתר של טוויטר ולחץ על הקישור "שכחת סיסמא". אם עליך ללחוץ על קישור בהודעת דוא"ל, לפחות לחץ על קישור בהודעת הדוא"ל שביקשת.
Whunnunnit? מי יודע?
לורד לא העלה השערה לגבי מי שעומד מאחורי ההתקפות.
"ההתקפה הזו לא הייתה עבודתם של חובבים, ואנחנו לא מאמינים שזה היה אירוע מבודד. התוקפים היו מתוחכמים ביותר, ואנחנו מאמינים שחברות וארגונים אחרים הותקפו לאחרונה באופן דומה", כתב לורד.
עם זאת, פוסט של לורד ציין את ההתקפות נגד ניו יורק טיימס מסין השבוע והייעוץ האחרון של המחלקה לביטחון פנים המליץ למשתמשים להשבית את ג'אווה בדפדפיהם. אף על פי שדווח כי טוויטר משתמש ב- Java בתשתית שלה, נראה כי אין יישומי Java באתר עצמו, ולכן ההמלצה להשבית את Java בדפדפן תמוהה בהקשר זה.
אכיפת החוק הפדרלית ואנשי ממשל חוקרים את האירוע, כך טוויטר.
