لا يزال بإمكان تطبيقات Twitter التغريد على الرغم من إعادة تعيين كلمة المرور

تحرك Twitter بسرعة لإغلاق حسابات المستخدمين وإلغاء الرموز المميزة للجلسة بعد خرق الأسبوع الماضي ، ولكن يبدو أن بعض الرموز المميزة تركت نشطة ، مما سمح لتطبيقات الطرف الثالث بمواصلة الوصول إلى Twitter باستخدام بيانات الاعتماد القديمة.

إذا كنت أحد مستخدمي Twitter الذين تلقوا رسالة البريد الإلكتروني الخاصة بإعادة تعيين كلمة المرور والتي يبلغ عددها 250.000 مستخدمًا يوم الجمعة ، نأمل أن تكون قد قمت بالفعل بتغيير كلمة المرور. إذا كنت تستخدم تطبيقات الجهات الخارجية للنشر على Twitter ، فمن المحتمل أن هذه التطبيقات لا تزال تستخدم بيانات اعتمادك القديمة. قم بإلغاء تثبيت التطبيقات وإعادة تثبيتها لتكون في الجانب الآمن.

كما أبلغنا عن SecurityWatch خلال عطلة نهاية الأسبوع ، سرق المهاجمون أسماء المستخدمين وعناوين البريد الإلكتروني وعلامات الجلسة وكلمات المرور المملحة. الرموز المميزة للجلسة هي نوع خاص من ملفات تعريف الارتباط المشفرة التي تبلغ موقع المدونات الصغيرة بأن المستخدم قد تم تسجيل دخوله بالفعل. طالما أن رمز الجلسة لا يزال صالحًا (غير منتهي الصلاحية أو ملغى أو محذوف) ، يمكن للمستخدمين العودة إلى Twitter بدون تسجيل الدخول مرة أخرى في كل مرة

إن إلغاء رموز هذه الجلسة ، كما قال تويتر ، يضمن أن المهاجمين الذين تمكنوا من اعتراض الرموز المميزة لا يمكنهم الوصول إلى حسابك. بالنظر إلى مقدار البرامج الضارة لسرقة البيانات التي تحصد ملفات تعريف الارتباط من أجهزة الكمبيوتر المصابة ، فإن إعادة تعيين الرمز المميز غير مريح للمستخدمين (بسبب الحاجة إلى تسجيل الدخول مرة أخرى) ولكنه فعال في منع المهاجمين من الخروج.

يمكن للتطبيقات تسجيل الدخول

ومع ذلك ، هناك تقارير تفيد بأن بعض الرموز التي تستخدمها تطبيقات الجهات الخارجية لم تتأثر. ذكرت The Register أن إنشاء كلمة مرور جديدة بعد تلقي إخطار إعادة التعيين لم يمنع تطبيقات Twitter الخاصة أو عملاء سطح المكتب مثل TweetDeck من إرسال مشاركات جديدة. قال Max Eddy الخاص بنا إنه اضطر إلى تغيير كلمات المرور إلى حساباته على Twitter خلال عطلة نهاية الأسبوع ، لكن أيا من تطبيقات الطرف الثالث التي استخدمها دفعته إلى تحديث كلمة المرور بأحدث إصدار.

تعتمد التطبيقات التي تستخدم Twitter API عادةً على OAuth ، وهو معيار مفتوح للمصادقة عبر مواقع متعددة. لا يبدو أن الرموز المميزة للجلسة التي تم إبطالها من Twitter قد أثرت على التطبيقات التي استخدمت OAuth للتعامل مع المصادقة. أخبر شخص واحد The Register أن التطبيقات لم تطلب كلمة المرور الجديدة حتى يتم حذفها وإعادة تثبيتها مرة أخرى.

"عندما يتم تغيير كلمة مرور على جهاز واحد ويكون لديك جهازان آخران بتسجيل الدخول باستخدام كلمة المرور القديمة (على سبيل المثال) ، يجب على البائع إنهاء جميع الجلسات المفتوحة للحساب المحدد ،" قال شون دوكا من McAfee لـ The Register.

أخبر سيزار سيرودو ، CTO of IOActive Labs ، التطبيقات التي تستخدم OAuth تلقي مفتاح جلسة تشفير في المرة الأولى التي تتم فيها المصادقة مع خدمة الويب ، وترسل المفاتيح في زيارات لاحقة. يسمح هذا لتطبيقات الجهات الخارجية بالعمل مع الخدمة المعنية دون إرسال معلومات كلمة المرور بشكل متكرر.

سيرودو لم ينظر في هذا الموقف بالذات ، لذلك لم يقدم أي تخمينات حول ما كان يحدث. لقد تواصل SecurityWatch مع Twitter حول كيفية تعامله مع جلسات OAuth وينتظر سماعه.

وفقًا للسياسة ، لا "ينقضي Twitter حاليًا في الوصول إلى الرموز المميزة" ، وفقًا لتوجيهات الشركة للمطورين بشأن استخدام OAuth. وقال التوجيه "سيكون رمز الدخول الخاص بك غير صالح إذا رفض المستخدم صراحة طلبك من إعداداته أو إذا أوقف مسؤول Twitter تطبيقك".

سيكون هذا ثاني حادث له علاقة بـ OAuth مع Twitter في الأسابيع القليلة الماضية. اتصل Cerrudo مؤخرًا بـ Twitter لعدم إبلاغ المستخدمين بمشكلة الأذونات التي تم إصلاحها بهدوء.

لمعرفة المزيد من Fahmida ، تابعها على TwitterzdFYRashid.