Video: Kunal Kamra Tweet: JPC On Data Protection Bill "Grills" Twitter, But Does It Have Jurisdiction? (Tháng mười một 2024)
Nếu bạn là một trong số 250.000 người dùng Twitter đã nhận được email đặt lại mật khẩu vào thứ Sáu, hy vọng bạn đã thay đổi mật khẩu của mình. Nếu bạn sử dụng các ứng dụng của bên thứ ba để đăng lên Twitter, có thể các ứng dụng đó vẫn đang sử dụng thông tin đăng nhập cũ của bạn. Gỡ cài đặt và cài đặt lại các ứng dụng để ở bên an toàn.
Như chúng tôi đã báo cáo trên SecurityWatch vào cuối tuần qua, những kẻ tấn công đã đánh cắp tên người dùng, địa chỉ email, mã thông báo phiên và mật khẩu được băm và băm. Mã thông báo phiên là loại cookie mã hóa đặc biệt thông báo cho trang web viết blog siêu nhỏ mà người dùng đã đăng nhập. Miễn là mã thông báo phiên vẫn còn hiệu lực (chưa hết hạn, bị thu hồi hoặc xóa), người dùng có thể quay lại Twitter mà không cần đăng nhập lại trong từng thời điểm
Việc thu hồi các mã thông báo phiên này, như Twitter đã nói, đảm bảo rằng những kẻ tấn công đã quản lý để chặn các mã thông báo không thể truy cập vào tài khoản của bạn. Xem xét số lượng phần mềm độc hại đánh cắp dữ liệu ngoài đó thu hoạch cookie từ các máy tính bị nhiễm, việc đặt lại mã thông báo là bất tiện cho người dùng (vì phải đăng nhập lại) nhưng hiệu quả trong việc ngăn chặn kẻ tấn công.
Ứng dụng có thể đăng nhập
Tuy nhiên, có báo cáo rằng một số mã thông báo được sử dụng bởi các ứng dụng của bên thứ ba không bị ảnh hưởng. Tạo mật khẩu mới sau khi nhận được thông báo đặt lại không ngăn các ứng dụng di động hoặc ứng dụng khách trên máy tính để bàn của Twitter như TweetDeck gửi bài đăng mới, Đăng ký báo cáo. Max Eddy của chúng tôi cho biết anh ấy đã phải thay đổi mật khẩu vào tài khoản Twitter của mình vào cuối tuần qua, nhưng không có ứng dụng bên thứ ba nào anh ấy sử dụng nhắc anh ấy cập nhật mật khẩu với mật khẩu mới hơn.
Các ứng dụng sử dụng API Twitter thường dựa vào OAuth, một tiêu chuẩn mở để xác thực trên nhiều trang web. Các mã thông báo phiên bị thu hồi Twitter dường như không ảnh hưởng đến các ứng dụng đã sử dụng OAuth để xử lý xác thực. Một người nói với Đăng ký rằng các ứng dụng không yêu cầu mật khẩu mới cho đến khi nó bị xóa và cài đặt lại.
"Khi mật khẩu được thay đổi trên một thiết bị và bạn có hai thiết bị khác đăng nhập bằng mật khẩu cũ (ví dụ), nhà cung cấp nên chấm dứt tất cả các phiên mở cho tài khoản đã cho", Sean Duca của McAfee, nói với Đăng ký.
Các ứng dụng sử dụng OAuth nhận được khóa phiên mã hóa vào lần đầu tiên xác thực với dịch vụ Web và gửi các khóa trong các lần truy cập tiếp theo, Cesar Cerrudo, CTO của IOActive Labs, nói với SecurityWatch. Điều này cho phép các ứng dụng của bên thứ ba hoạt động với dịch vụ được đề cập mà không cần liên tục gửi thông tin mật khẩu.
Cerrudo chưa xem xét tình huống cụ thể này, vì vậy không đưa ra bất kỳ dự đoán nào về những gì đang xảy ra. SecurityWatch đã liên hệ với Twitter về cách nó xử lý các phiên OAuth và đang chờ để nghe lại.
Theo chính sách, Twitter hiện không hết hạn mã thông báo truy cập, theo hướng dẫn của công ty cho các nhà phát triển về việc sử dụng OAuth. Mã thông báo truy cập của bạn sẽ không hợp lệ nếu người dùng từ chối rõ ràng ứng dụng của bạn khỏi cài đặt của họ hoặc nếu quản trị viên Twitter tạm ngưng ứng dụng của bạn, thì hướng dẫn nói.
Đây sẽ là sự cố thứ hai liên quan đến OAuth với Twitter trong vài tuần qua. Cerrudo gần đây đã gọi Twitter vì đã không thông báo cho người dùng về vấn đề quyền mà nó đã lặng lẽ khắc phục.
Để biết thêm từ Fahmida, hãy theo dõi cô ấy trên Twitter @zdFYRashid.