بيت Securitywatch خرق تويتر ، سرق المهاجمون 250،000 بيانات المستخدم

خرق تويتر ، سرق المهاجمون 250،000 بيانات المستخدم

فيديو: ŵ ĥ ë ŕ ė ĥ ã v á ÿ ø ù b ē é ñ🍫 : (شهر نوفمبر 2024)

فيديو: ŵ ĥ ë ŕ ė ĥ ã v á ÿ ø ù b ē é ñ🍫 : (شهر نوفمبر 2024)
Anonim

وقال موقع المدونات الصغيرة إن المهاجمين ربما تمكنوا من الوصول إلى 250 ألف حساب على تويتر. حان الوقت لتغيير كلمة المرور الخاصة بك… مرة أخرى.

حدد فريق أمان الموقع محاولات الوصول المتعددة من قبل الأفراد غير المصرح لهم للوصول إلى بيانات المستخدم هذا الأسبوع ، كتب بوب لورد ، مدير أمن المعلومات ، على مدونة تويتر بعد ظهر يوم الجمعة. وقال اللورد إن الشركة كشفت أيضًا "هجومًا حيًا واحدًا" وأغلقته بينما كان لا يزال قيد التقدم بعد لحظات.

كشفت المزيد من التحقيقات أن المهاجمين كانوا قادرين على الوصول إلى مجموعة فرعية من بيانات المستخدم ، بما في ذلك أسماء المستخدمين وعناوين البريد الإلكتروني وعلامات الجلسة وكلمات المرور المشفرة / المملحة ، التي تنتمي إلى ما يقرب من 250.000 مستخدم ، تم قبول تويتر في المنشور. لم تقدم Lord أي معلومات إضافية حول انتهاك الأمان ، ولم يوضح ما إذا كان قد تم الوصول إلى أي من الحسابات المكشوفة بطريقة غير قانونية.

وكتب لورد: "كإجراء أمني احترازي ، قمنا بإعادة تعيين كلمات المرور وإلغاء الرموز المميزة لهذه الجلسة".

يشرح بول داكلين في سوفوس ما يمكن أن يفعله المهاجمون برمز الجلسة المسروقة على مدونة NakedSecurity.

إعادة ضبط كلمات المرور

بعد إعادة تعيين كلمات المرور المكشوفة ، أبلغ Twitter المستخدمين المتأثرين بالبريد الإلكتروني لإنشاء كلمة مرور جديدة. يوصي المستخدمون بالبريد الإلكتروني باختيار كلمة مرور قوية - على الأقل 10 أحرف وعدم إعادة استخدامها على أي موقع أو حسابات أخرى - لحماية أنفسهم. بطبيعة الحال ، كلمة مرور أطول من 10 أحرف هي أيضا أفضل.

إذا كان لدى المستخدم كلمة مرور ضعيفة ، فلن تكون حقيقة أن Twitter قد قام بتمليح كلمات المرور المشفرة أو تشفيرها مساعدة كبيرة ، حيث يمكن للمهاجمين استخدام أدوات مختلفة لتكسير كلمة المرور لمعرفة سلسلة كلمات المرور الأصلية. وإذا كان المستخدمون قد استخدموا نفس كلمة المرور للمواقع الأخرى عبر الإنترنت ، فهذه هي مفاتيح مملكة هوية المستخدم ، هناك.

البريد الإلكتروني للإخطار من Twitter خفي ، على أقل تقدير. إنه لا يذكر الهجوم على الإطلاق ، ولا يرتبط بالنشر الفعلي للمدونة. إنه يُعلم المستخدم فقط أن كلمة المرور ربما تم اختراقها ويوفر للمستخدم رابطًا للنقر فوقه لإعادة تعيين كلمة المرور. هناك روابط أخرى لأجزاء أخرى من الموقع في البريد الإلكتروني.

كتب سايمون فيبس ، مستخدم التغريد ، أن الرسالة "كانت تحمل جميع العلامات المميزة للبريد الإلكتروني المخادع". وأضاف "لا ينبغي تدريب المستخدمين على قبول هذا".

لقد قلناها في SecurityWatch من قبل وسنقولها مرة أخرى: لا تنقر على الروابط في رسائل البريد الإلكتروني. يمكن لأي شخص أن يسخر من ملاحظة كهذه ويرسلها إلى مستخدمين عشوائيين. كما لاحظ Phipps في تغريدة مختلفة ، سيكون من الصعب معرفة ذلك على الفور. كانت هناك تقارير على Twitter تفيد بأن حملة البريد العشوائي قد تكون قيد التقدم بالفعل.

إذا تلقيت رسالة بريد إلكتروني تطلب منك إعادة تعيين كلمة مرور Twitter الخاصة بك ، فما عليك سوى أخذ ثانية للانتقال يدويًا إلى موقع Twitter والنقر على الرابط "نسيت كلمة المرور". إذا كان عليك النقر على رابط في رسالة بريد إلكتروني ، فعلى الأقل انقر على رابط في رسالة البريد الإلكتروني التي طلبتها.

Whodunnit؟ من تعرف؟

لم يتكهن اللورد بالذين قد يكونون وراء الهجمات.

وكتب لورد: "هذا الهجوم لم يكن من عمل الهواة ، ولا نعتقد أنه كان حادثًا معزولًا. كان المهاجمون متطورين للغاية ، ونعتقد أن شركات ومنظمات أخرى تعرضت للهجوم بشكل مشابه مؤخرًا".

ومع ذلك ، أشار منشور Lord إلى الهجمات التي تعرضت لها New York Times من الصين هذا الأسبوع والمستشار الأخير الصادر عن وزارة الأمن الداخلي والذي يوصي المستخدمين بتعطيل Java في متصفحاتهم. بينما يُقال إن Twitter يستخدم Java في بنيته الأساسية ، لا يبدو أن هناك أي تطبيقات Java صغيرة على الموقع نفسه ، لذا فإن التوصية بتعطيل Java في المتصفح محيرة في هذا السياق.

وقال تويتر إن مسؤولي إنفاذ القانون الاتحاديين والمسؤولين الحكوميين يحققون في الحادث.

خرق تويتر ، سرق المهاجمون 250،000 بيانات المستخدم