Vídeo: Love Island USA - Sorry, But The Tweets Don't Lie (Novembro 2024)
Os invasores podem ter acesso a 250.000 contas no Twitter, disse o site de microblog. É hora de mudar sua senha… novamente.
A equipe de segurança do site identificou várias tentativas de acesso de indivíduos não autorizados a acessar dados do usuário nesta semana, escreveu Bob Lord, diretor de segurança da informação, no blog do Twitter na tarde de sexta-feira. A empresa também descobriu "um ataque ao vivo" e o fechou enquanto ainda estava em andamento momentos depois, disse Lord.
Investigações posteriores revelaram que os invasores conseguiram acessar um subconjunto de dados do usuário, incluindo nomes de usuário, endereços de email, tokens de sessão e senhas criptografadas / salgadas, pertencentes a aproximadamente 250.000 usuários, admitiu o Twitter na publicação. Lord não forneceu nenhuma informação adicional sobre a violação de segurança, nem disse se alguma das contas expostas havia sido acessada ilegalmente.
"Como medida de segurança por precaução, redefinimos senhas e revogamos tokens de sessão para essas contas", escreveu Lord.
Paul Ducklin, da Sophos, explica o que os invasores podem fazer com o token de sessão roubada no blog NakedSecurity.
Redefinir senhas!
Após redefinir as senhas expostas, o Twitter notificou os usuários afetados por email para criar uma nova senha. Os usuários recomendados por email selecionam uma senha forte - pelo menos 10 caracteres e não reutilizada em nenhum outro site ou conta - para se protegerem. Obviamente, uma senha com mais de 10 caracteres também é melhor.
Se o usuário tivesse uma senha fraca, o fato de o Twitter ter salgado e criptografado as senhas não ajudaria muito, pois os invasores podem usar várias ferramentas de quebra de senhas para descobrir qual era a string de senha original. E se os usuários usaram a mesma senha para outros sites online, essas são as chaves para o reino da identidade do usuário, bem ali.
O e-mail de notificação do Twitter é enigmático, para dizer o mínimo. Ele não menciona o ataque, nem vincula à publicação real do blog. Ele apenas informa ao usuário que a senha pode ter sido comprometida e oferece ao usuário um link para clicar para redefinir a senha. Existem outros links para outras partes do site no email.
A carta "tinha todas as características de um e-mail de phishing", escreveu o usuário do Twitter Simon Phipps. "Os usuários NÃO devem ser treinados para aceitar isso", acrescentou.
Nós da SecurityWatch já dissemos isso antes e vamos repetir: não clique nos links dos emails. Qualquer pessoa pode simular uma nota como essa e enviá-la a usuários aleatórios. Como Phipps observou em outro tweet, seria "difícil dizer imediatamente". Houve relatos no Twitter de que uma campanha de spam já pode estar em andamento.
Se você receber um e-mail pedindo para redefinir sua senha do Twitter, aguarde um segundo para ir manualmente ao site do Twitter e clique no link "Esqueci a senha". Se você precisar clicar em um link em um email, pelo menos clique em um link no email solicitado.
Whodunnit? Quem sabe?
Lord não especulou sobre quem pode estar por trás dos ataques.
"Este ataque não foi obra de amadores, e não acreditamos que tenha sido um incidente isolado. Os agressores foram extremamente sofisticados e acreditamos que outras empresas e organizações também foram recentemente atacadas de maneira semelhante", escreveu Lord.
No entanto, o post de Lord mencionou os ataques contra o New York Times da China nesta semana e o recente comunicado do Departamento de Segurança Interna, recomendando que os usuários desativem o Java em seus navegadores. Embora o Twitter use Java em sua infraestrutura, parece que não existem applets Java no próprio site, portanto, a recomendação para desativar o Java no navegador é intrigante nesse contexto.
As autoridades federais e autoridades do governo estão investigando o incidente, disse o Twitter.