Vídeo: Twitter hackeado!! Como você pode proteger sua aplicação (Novembro 2024)
O Twitter alertou várias organizações de notícias para reforçar a segurança após várias aquisições de contas de alto perfil.
"Por favor, ajude-nos a manter suas contas seguras", escreveu o Twitter no memorando.
Várias contas do Twitter pertencentes ao Guardian do Reino Unido foram atingidas pelo Exército Eletrônico Sírio no fim de semana e, na semana passada, Associated Press, CBS News e BBC também foram invadidas. A SEA ameaçou manter seus ataques porque o Twitter continua suspendendo sua conta.
Muitos especialistas em segurança criticaram o Twitter por não ter autenticação de dois fatores para proteger as contas dos usuários. Enquanto esperamos para ver o que o Twitter faz para melhorar a segurança de sua conta, o site de microblog descreveu algumas dicas que as organizações podem seguir para proteger suas contas.
"Ajude-nos a protegê-lo", dizia o memorando.
Embora a mensagem em si tenha sido destinada a organizações de notícias, algumas recomendações são aplicáveis a qualquer pessoa que contribua para uma conta de grupo do Twitter.
Segurança 101
Várias das recomendações se enquadram no Security 101 básico e são dicas que qualquer pessoa deve seguir, tanto para as contas pessoais quanto para as compartilhadas.
O Twitter incentivou os usuários a alterar senhas, selecionar senhas fortes e estar atentos a comunicações suspeitas ou que possam fazer parte de uma campanha de spear phishing. Todas as organizações, não apenas a mídia, devem estar cientes de possíveis ataques de phishing.
"Esses incidentes parecem ser ataques de spear phishing direcionados ao e-mail corporativo. Promover a conscientização individual desses ataques em sua organização e seguir as diretrizes de segurança abaixo é vital para evitar o abuso de suas contas do Twitter", disse o memorando.
Como o Twitter usa email para redefinições de senha e comunicações oficiais, os usuários precisam manter suas contas de email seguras, primeiro selecionando senhas fortes (e diferentes!). Se a autenticação de dois fatores estiver disponível na conta de e-mail, ela deverá estar ativada, sugeriu o Twitter.
Os usuários nunca devem enviar senhas por e-mail, mesmo internamente, alertou o Twitter. Dessa forma, os invasores não conseguem encontrar a senha da conta através das mensagens arquivadas de outra pessoa.
Revisar aplicativos autorizados
Muitos de nós concedem acesso a vários aplicativos para poder usar o Twitter - Storify, Hootsuite e vários outros aplicativos - para que eles possam postar na conta. Com que frequência você experimentou novos aplicativos e, quando parou de usá-los, esqueceu de remover o acesso?
Revise os aplicativos autorizados a acessar suas contas em https://twitter.com/settings/applications e remova qualquer coisa que não esteja sendo usada ativamente.
Limitar quem usa a conta
Uma das recomendações era usar apenas "um computador para usar o Twitter".
"Não use este computador para ler e-mails ou navegar na web, para reduzir as chances de infecção por malware", disse o site de microblogging em seu e-mail. O uso de um computador também evitaria que a "senha do Twitter fosse espalhada", afirmou o Twitter.
As boas práticas de segurança recomendam ter um computador dedicado ao banco on-line. Então, se tivermos um para o Twitter, com certeza devemos ter um para e-mail e mais um para… Talvez seja hora de configurarmos máquinas virtuais descartáveis para todos os sites que acessamos regularmente?
Essa recomendação específica não funciona de forma alguma no Twitter, já que todo o objetivo é poder se envolver e responder imediatamente (e não quando você está no computador autorizado), há uma pepita que vale a pena considerar: limite de quem pode postar através da conta do grupo. Não é necessário que todos tenham acesso à conta.
De fato, o memorando de Twtter recomenda o mesmo e acrescenta: "Cada uma dessas pessoas é uma possível via para phishing ou outro compromisso".
Senha de Segurança
Além de selecionar uma senha forte, o Twitter recomendou o uso de gerenciadores de senhas. Os gerenciadores de senhas não apenas facilitariam o uso de uma senha forte, mas muitos deles preencherão automaticamente as senhas quando o usuário estiver no site correto. Eles não se enquadram nos sites de phishing falsificados, por isso é mais seguro deixar o gerenciador de senhas descobrir quais páginas de login são legítimas.
Ontem, o SecurityWatch apontou a importância do uso de gerenciadores de senhas para proteger contas em serviços online.
"Crie um plano. Crie um plano formal de resposta a incidentes", disse o Twitter. Saber o que você vai fazer e quem você vai ligar coloca você em uma posição melhor no caso de um comprometimento da conta.