Videó: 11 Bra Hacks Every Woman Should Know (November 2024)
Ha Ön egyike annak a 250 000 Twitter-felhasználónak, aki pénteken kapott a jelszó-visszaállítási e-mailt, remélhetőleg már megváltoztatta a jelszavát. Ha harmadik féltől származó alkalmazásokat küld a Twitterbe, akkor valószínű, hogy ezek az alkalmazások továbbra is a régi hitelesítő adataikat használják. Távolítsa el és telepítse újra az alkalmazásokat, hogy biztonságban lehessen.
Amint a hétvégén számoltunk be a SecurityWatch-ről, a támadók felhasználóneveket, e-mail címeket, munkamenet-tokeneket és sózott és hash jelszavakat loptak. A munkamenet-tokenek speciális típusú kriptográfiai sütik, amelyek tájékoztatják a mikroblog-oldalt arról, hogy a felhasználó már be van jelentkezve. Amíg a munkamenet-token továbbra is érvényes (nem járt le, nem lett visszavonva vagy törölve), a felhasználók visszatérés nélkül térhetnek vissza a Twitter-be. minden alkalommal.
A munkamenet-tokenek visszavonása, amint azt a Twitter is mondta, biztosítja, hogy a támadók, akiknek sikerült elfogniuk a tokeneket, nem férhetnek hozzá az Ön fiókjához. Figyelembe véve az adatlopó rosszindulatú programok mennyiségét a fertőzött számítógépektől a cookie-k gyűjtésében, a token visszaállítása kényelmetlen a felhasználók számára (mert újra be kell jelentkezniük), de hatékonyan tartja távol a támadókat.
Az alkalmazások bejelentkezhetnek
Vannak olyan jelentések, amelyek szerint a harmadik fél által használt alkalmazások néhány jogkivonatát nem érintette. Az új jelszó létrehozása a visszaállítási értesítés kézhezvétele után nem akadályozta meg a Twitter saját mobilalkalmazásait vagy olyan asztali klienseit, mint a TweetDeck, új hozzászólások benyújtását, jelentette a The Register. Saját Max Eddy mondta, hogy hétvégén cserélnie kell Twitter-fiókjainak jelszavát, de az általa használt harmadik féltől származó alkalmazások egyike sem sürgette őt, hogy frissítse a jelszót az újabbval.
A Twitter API-t használó alkalmazások általában az OAuth-ra támaszkodnak, amely több webhely hitelesítésének nyílt szabványa. A Twitter visszavont munkamenet-jogkivonatok úgy tűnik, hogy nem befolyásolták azokat az alkalmazásokat, amelyek az OAuth-ot használják a hitelesítés kezelésére. Az egyik személy azt mondta a Regisztrációnak, hogy az alkalmazások nem kérték az új jelszót, amíg azt nem törölték és újratelepítették.
"Amikor egy jelszó megváltozik egy eszközön, és két másik eszköz (például) van bejelentkezve a régi jelszóval, az eladónak le kell állítania az adott számla összes nyitott munkamenetét" - mondta a McAfee's Sean Duca, a The Register-nek.
Az OAuth-ot használó alkalmazások kriptográfiai munkakulcsot kapnak, amikor először hitelesíti a webszolgáltatással, és elküldi a kulcsokat a következő látogatások során - mondta Cesar Cerrudo, az IOActive Labs műszaki vezetője, a SecurityWatch. Ez lehetővé teszi a harmadik féltől származó alkalmazások számára, hogy a szóban forgó szolgáltatással a jelszóinformációk többszöri elküldése nélkül működjenek együtt.
Cerrudo még nem vizsgálta meg ezt a különleges helyzetet, így semmiféle kitalálást nem tett a történtekről. A SecurityWatch felhívta a Twitter figyelmét az OAuth-munkamenetek kezelésére, és várja, hogy meghallgassák.
Politika szerint a Twitter jelenleg nem jár le hozzáférési jogkivonatokkal, a cég fejlesztőknek az OAuth használatára vonatkozó útmutatása szerint. „A hozzáférési jogkivonat érvénytelen lesz, ha a felhasználó kifejezetten elutasítja az alkalmazását a beállításokból, vagy ha egy Twitter rendszergazda felfüggeszti az alkalmazását” - mondta az útmutató.
Ez a második, az OAuth-hoz kapcsolódó esemény a Twittertel az elmúlt hetekben. Cerrudo nemrégiben felszólította a Twittert, hogy nem értesíti a felhasználókat a csendesen kijavított engedélyekről.
Ha Fahmidától szeretne többet megtudni, kövesse őt a Twitteren @zdFYRashid.
