Видео: The transition begins…for the @POTUS Twitter handle (Октября 2024)
Если вы являетесь одним из 250 000 пользователей Twitter, которые получили электронное письмо для сброса пароля в пятницу, надеюсь, вы уже изменили свой пароль. Если вы используете сторонние приложения для публикации в Twitter, возможно, эти приложения все еще используют ваши старые учетные данные. Удалите и переустановите приложения, чтобы быть в безопасности.
Как мы сообщали в SecurityWatch за выходные, злоумышленники похитили имена пользователей, адреса электронной почты, токены сеансов и пароли с хеш-символами. Сеансовые токены представляют собой особый тип криптографических файлов cookie, информирующих сайт микроблоггинга о том, что пользователь уже вошел в систему. Пока токен сеанса остается действительным (не истек, не отозван или удален), пользователи могут вернуться в Twitter без повторного входа в систему. в каждый раз.
Отмена этих токенов сеанса, как сказал Твиттер, гарантирует, что злоумышленники, которым удалось перехватить токены, не смогут получить доступ к вашей учетной записи. Принимая во внимание количество вредоносных программ для кражи данных, собирающих cookie-файлы с зараженных компьютеров, сброс токена неудобен для пользователей (для того, чтобы войти в систему), но эффективен для защиты от атак злоумышленников.
Приложения могут войти
Однако есть сообщения о том, что некоторые токены, используемые сторонними приложениями, не были затронуты. Создание нового пароля после получения уведомления о сбросе не помешало собственным мобильным приложениям Twitter или настольным клиентам, таким как TweetDeck, отправлять новые сообщения, сообщает The Register. Наш собственный Макс Эдди сказал, что он должен был поменять пароли к своим учетным записям в Twitter в выходные, но ни одно из сторонних приложений, которые он использовал, не предлагало ему обновить пароль с более новым.
Приложения, использующие API Twitter, обычно используют OAuth, открытый стандарт для аутентификации на нескольких сайтах. Токены сеанса, отозванные Twitter, похоже, не затронули приложения, которые использовали OAuth для обработки аутентификации. Один человек сказал The Register, что приложения не запрашивали новый пароль, пока он не был удален и снова установлен.
«Когда пароль изменяется на одном устройстве, и у вас есть два других устройства, вошедших в систему со старым паролем (например), поставщик должен прекратить все открытые сеансы для данной учетной записи», - сказал Шон Дука из McAfee в интервью The Register.
Приложения, использующие OAuth, получают криптографический сеансовый ключ при первой аутентификации с помощью веб-службы и отправляют ключи при последующих посещениях, сообщил SecurityWatch Сезар Серрудо, технический директор IOActive Labs. Это позволяет сторонним приложениям работать с соответствующей службой без повторной отправки информации о пароле.
Серрудо еще не рассматривал эту конкретную ситуацию, поэтому не дал никаких предположений о том, что происходит. SecurityWatch связался с Twitter о том, как он обрабатывает сеансы OAuth и ждет ответа.
Согласно политике, в настоящее время Twitter не «истекает токены доступа», согласно руководству компании для разработчиков по использованию OAuth. «Ваш токен доступа будет недействительным, если пользователь явно отклонит ваше приложение из своих настроек или если администратор Twitter приостановит ваше приложение», - говорится в руководстве.
Это будет второй инцидент с OAuth в Twitter за последние несколько недель. Cerrudo недавно вызвал Twitter за то, что он не уведомил пользователей о проблеме с разрешениями, которую он незаметно исправил.
Чтобы узнать больше о Фахмиде, следите за ней в Твиттере @zdFYRashid.
