ビデオ: 約束 - Eve MV (十一月 2024)
マイクロブログサイトによると、攻撃者はTwitterの250, 000アカウントにアクセスしている可能性があります。 パスワードを変更する時が来ました…もう一度。
サイトのセキュリティチームは、今週、権限のない個人によるユーザーデータへの複数のアクセス試行を特定しました。情報セキュリティのディレクターであるボブロードは金曜日の午後にTwitterブログに書きました。 また、同社は「1つのライブ攻撃」を発見し、しばらくしてまだ進行中だったが、それをシャットダウンしたと主は言った。
さらに調査を行ったところ、攻撃者はユーザー名、メールアドレス、セッショントークン、暗号化/ソルトパスワードを含むユーザーデータのサブセットにアクセスでき、約250, 000ユーザーに属していることがTwitterで認められました。 主は、セキュリティ侵害に関する追加情報を提供せず、公開されたアカウントのいずれかが不正にアクセスされたかどうかも述べませんでした。
「予防的なセキュリティ対策として、これらのアカウントのパスワードをリセットし、セッショントークンを失効させました」とLordは書きました。
ソフォスのPaul Ducklinが、NakedSecurityブログで、盗まれたセッショントークンで攻撃者ができることを説明しています。
パスワードをリセットしてください!
公開されたパスワードをリセットした後、Twitterは影響を受けるユーザーに電子メールで新しいパスワードを作成するよう通知しました。 電子メールで推奨されるユーザーは、自分自身を保護するために、強力なパスワード(少なくとも10文字で、他のサイトやアカウントで再利用されない)を選択します。 もちろん、10文字より長いパスワードの方が優れています。
ユーザーが弱いパスワードを持っている場合、攻撃者はさまざまなパスワードクラッキングツールを使用して元のパスワード文字列を把握できるため、Twitterがパスワードをソルトおよび暗号化したという事実はあまり役に立ちません。 また、ユーザーが他のサイトで同じパスワードをオンラインで使用していた場合、それがユーザーのアイデンティティ王国の鍵となります。
控えめに言っても、Twitterからの通知メールは不可解です。 攻撃については一切言及しておらず、実際のブログ投稿へのリンクもありません。 パスワードが侵害された可能性があることをユーザーに通知し、クリックしてパスワードをリセットするリンクをユーザーに提供します。 メールには、サイトの他の部分への他のリンクがあります。
この手紙には「フィッシングメールのすべての特徴があった」とTwitterユーザーのサイモン・フィップスは書いている。 「ユーザーはこれを受け入れるように訓練されるべきではない」と彼は付け加えた。
SecurityWatchで 私たちは以前にそれを言ったことがあります。もう一度言います。電子メールのリンクをクリックしないでください。 誰でもこのようなメモを作成して、ランダムなユーザーに送信できます。 別のツイートでフィップスが指摘したように、「すぐに伝えるのは難しい」だろう。 Twitterには、スパムキャンペーンがすでに進行中であるという報告がありました。
Twitterのパスワードをリセットするように求めるメールを受け取った場合は、少し待って手動でTwitterのサイトにアクセスし、[パスワードを忘れた]リンクをクリックしてください。 メール内のリンクをクリックする必要がある場合は、少なくともリクエストしたメール内のリンクをクリックしてください。
Whodunnit? 知るか?
主は誰が攻撃の背後にいたのか推測しませんでした。
「この攻撃はアマチュアの仕事ではなく、孤立した事件ではないと考えています。攻撃者は非常に巧妙であり、他の企業や組織も最近同様に攻撃されたと考えています」
しかし、主の投稿は今週の中国からのニューヨーク・タイムズに対する攻撃と、国土安全保障省からのユーザーがブラウザでJavaを無効にするよう勧告する最近の勧告に言及した。 TwitterはインフラストラクチャでJavaを使用していると報告されていますが、サイト自体にはJavaアプレットは存在しないようです。そのため、ブラウザでJavaを無効にすることをお勧めします。
Twitterは、連邦法執行機関と政府当局者が事件を調査していると述べた。