Vídeo: Twitter Tweets Dicas e Curiosidades que você NÃO Sabia! (Outubro 2024)
Se você é um dos 250.000 usuários do Twitter que recebeu o e-mail de redefinição de senha na sexta-feira, esperamos que você já tenha alterado sua senha. Se você usar aplicativos de terceiros para postar no Twitter, é possível que esses aplicativos ainda estejam usando suas credenciais antigas. Desinstale e reinstale os aplicativos para ficar do lado seguro.
Conforme relatamos no SecurityWatch no fim de semana, os invasores roubaram nomes de usuário, endereços de email, tokens de sessão e senhas salgadas e com hash. Os tokens de sessão são tipos especiais de cookies criptográficos que informam ao site de microblog que o usuário já está logado. Enquanto o token da sessão ainda for válido (não expirado, revogado ou excluído), os usuários podem voltar ao Twitter sem fazer logon novamente em cada vez.
A revogação desses tokens de sessão, como o Twitter disse, garante que os invasores que conseguiram interceptar os tokens não possam acessar sua conta. Considerando a quantidade de malwares que roubam dados que coletam cookies de computadores infectados, redefinir o token é inconveniente para os usuários (por ter que fazer login novamente), mas é eficaz para manter os invasores afastados.
Os aplicativos podem fazer login
No entanto, há relatos de que alguns dos tokens usados por aplicativos de terceiros não foram afetados. Criar uma nova senha após receber a notificação de redefinição não impediu que os aplicativos móveis do Twitter ou os clientes de desktop, como o TweetDeck, enviassem novas postagens, informou o The Register. Nosso próprio Eddy Max disse que tinha que mudar senhas para suas contas do Twitter no fim de semana, mas nenhum dos aplicativos de terceiros que ele usou o levou a atualizar a senha com a mais nova.
Os aplicativos que usam a API do Twitter geralmente confiam no OAuth, um padrão aberto para autenticação em vários sites. Os tokens de sessão revogados pelo Twitter não parecem ter afetado os aplicativos que usavam o OAuth para lidar com a autenticação. Uma pessoa disse ao The Register que os aplicativos não pediam a nova senha até que ela fosse excluída e reinstalada novamente.
"Quando uma senha é alterada em um dispositivo e você tem dois outros dispositivos conectados com a senha antiga (por exemplo), o fornecedor deve encerrar todas as sessões abertas para a conta especificada", disse Sean Duca, da McAfee, ao The Register.
Os aplicativos que usam OAuth recebem uma chave de sessão criptográfica na primeira vez em que se autentica com o serviço da Web e envia as chaves em visitas subseqüentes, disse à SecurityWatch Cesar Cerrudo, CTO do IOActive Labs. Isso permite que aplicativos de terceiros trabalhem com o serviço em questão sem enviar repetidamente as informações da senha.
Cerrudo ainda não havia analisado essa situação em particular, por isso não deu palpites sobre o que estava acontecendo. O SecurityWatch entrou em contato com o Twitter sobre como trata as sessões do OAuth e está aguardando resposta.
Por política, o Twitter "atualmente não expira os tokens de acesso", de acordo com as orientações da empresa aos desenvolvedores sobre o uso do OAuth. "Seu token de acesso será inválido se um usuário rejeitar explicitamente seu aplicativo de suas configurações ou se um administrador do Twitter suspender seu aplicativo", informavam as orientações.
Este seria o segundo incidente relacionado ao OAuth com o Twitter nas últimas semanas. Recentemente, Cerrudo chamou o Twitter por não notificar os usuários sobre um problema de permissão que havia corrigido silenciosamente.
Para mais informações sobre Fahmida, siga-a no Twitter @zdFYRashid.
