Video: Handling events in AngularJS (Nobyembre 2024)
Ang mga pag-atake ay maaaring magkaroon ng access sa 250, 000 mga account sa Twitter, sinabi ng microblogging site. Panahon na upang baguhin ang iyong password … muli.
Kinilala ng pangkat ng seguridad ng site ang maraming mga pagtatangka sa pag-access ng mga hindi awtorisadong indibidwal upang ma-access ang data ng gumagamit sa linggong ito, ang Bob Lord, direktor ng seguridad ng impormasyon, ay nagsulat sa blog ng Twitter noong Biyernes ng hapon. Natuklasan din ng kumpanya ang "isang live na pag-atake" at isinara ito habang ito ay nasa mga sandali pa rin sa pag-unlad, sinabi ni Lord.
Ang karagdagang pagsisiyasat ay nagsiwalat na ang mga umaatake ay maaaring ma-access ang isang subset ng data ng gumagamit, kabilang ang mga usernames, email address, mga token ng session, at mga naka-encrypt / salted na mga password, na kabilang sa humigit-kumulang 250, 000 mga gumagamit, inamin ng Twitter sa post. Hindi nagbigay ang Panginoon ng anumang karagdagang impormasyon tungkol sa paglabag sa seguridad, o sinabi niya kung ang alinman sa mga nakalantad na account ay ilegal na na-access.
"Bilang isang hakbang sa pag-iingat sa seguridad, na-reset namin ang mga password at tinanggal ang mga token ng session para sa mga account na ito, " sulat ni Lord.
Ipinaliwanag ni Paul Ducklin sa Sophos kung ano ang maaaring gawin ng mga umaatake sa mga ninakaw na sesyon ng sesyon sa blog na NakedSecurity.
I-reset ang Mga password!
Matapos i-reset ang nakalantad na mga password, ipinagbigay-alam sa Twitter ang mga apektadong gumagamit sa pamamagitan ng email upang lumikha ng isang bagong password. Ang mga inirerekomenda ng email ay pumili ng isang malakas na password - hindi bababa sa 10 mga character at hindi na ginagamit muli sa anumang iba pang site o account - upang maprotektahan ang kanilang sarili. Siyempre, mas mahusay ang isang password kaysa sa 10 mga character.
Kung ang gumagamit ay may isang mahina na password, ang katotohanan na ang asin ay na-asin at naka-encrypt ang mga password ay hindi magiging maraming tulong, dahil ang mga mananalakay ay maaaring gumamit ng iba't ibang mga tool sa pag-crack ng password upang malaman kung ano ang orihinal na string ng password. At kung ang mga gumagamit ay ginamit ang parehong password para sa iba pang mga site sa online, iyon ang mga susi sa kaharian ng pagkakakilanlan ng gumagamit, doon mismo.
Ang email ng notification mula sa Twitter ay hindi totoo, upang masabi. Hindi nito binabanggit ang pag-atake, at hindi rin ito maiugnay sa aktwal na post sa blog. Pinapayagan lamang nito sa gumagamit ang password ay maaaring na-kompromiso at nag-aalok sa isang gumagamit ng isang link upang mag-click sa upang i-reset ang password. Mayroong iba pang mga link sa iba pang mga bahagi ng site sa email.
Ang liham "ay nagkaroon ng lahat ng mga tanda ng isang phishing e-mail, " isinulat ng gumagamit ng Twitter na si Simon Phipps. "Hindi dapat sanay ang mga gumagamit upang tanggapin ito, " dagdag niya.
Nasabi namin ito sa SecurityWatch at muli naming sasabihin: Huwag mag-click sa mga link sa mga email. Kahit sino ay maaaring mag-tawa ng isang tala tulad nito at ipadala ito sa mga random na gumagamit. Tulad ng nabanggit na Phipps sa ibang tweet, magiging "mahirap sabihin kaagad." May mga ulat sa Twitter na ang isang kampanya ng spam ay maaaring nag-unlad na.
Kung nakatanggap ka ng isang email na humihiling sa iyo na i-reset ang iyong password sa Twitter, tumagal lamang ng isang segundo upang manu-manong pumunta sa site ng Twitter at mag-click sa link na "Nakalimutan ang password". Kung kailangan mong mag-click sa isang link sa isang email, hindi bababa sa pag-click sa isang link sa email na iyong hiniling.
Whodunnit? Sino ang Kumilala?
Hindi nag-isip-isip si Lord kung sino ang maaaring nasa likod ng mga pag-atake.
"Ang pag-atake na ito ay hindi gawa ng mga amateurs, at hindi kami naniniwala na ito ay isang nakahiwalay na insidente. Ang mga umaatake ay labis na sopistikado, at naniniwala kami na ang iba pang mga kumpanya at organisasyon ay kamakailan lamang ay sinalakay, " sulat ni Lord.
Gayunpaman, binanggit ng post ni Lord ang mga pag-atake laban sa New York Times mula sa China ngayong linggo at ang kamakailang pagpapayo mula sa Kagawaran ng Homeland Security na inirerekumenda ng mga gumagamit na huwag paganahin ang Java sa kanilang mga browser. Habang ang Twitter ay iniulat na gumamit ng Java sa imprastruktura nito, walang lilitaw na anumang mga applet ng Java sa site mismo, kaya ang rekomendasyon na huwag paganahin ang Java sa browser ay nakakagulat sa konteksto na ito.
Ang pagpapatupad ng batas ng federal at mga opisyal ng gobyerno ay sinisiyasat ang insidente, sinabi ng Twitter.
