视频: Trump’s Arsehole Tweets From Bed | Spitting Image (十一月 2024)
如果您是星期五收到密码重置电子邮件的250, 000个Twitter用户之一,则希望您已经更改了密码。 如果您使用第三方应用程序在Twitter上发布,则这些应用程序可能仍在使用您的旧凭据。 为了安全起见,请卸载并重新安装这些应用程序。
正如我们在周末在SecurityWatch上报道的那样,攻击者窃取了用户名,电子邮件地址,会话令牌和盐渍化的密码。 会话令牌是一种特殊类型的加密cookie,用于通知微博网站用户已经登录。只要会话令牌仍然有效(未过期,吊销或删除),用户就可以返回Twitter,而无需重新登录在每次。
如Twitter所说,撤销这些会话令牌可确保设法拦截令牌的攻击者无法访问您的帐户。 考虑到现有的数据窃取恶意软件的数量是从受感染的计算机中收集Cookie,因此重置令牌对用户来说不方便(因为必须重新登录),但可以有效地将攻击者拒之门外。
应用程序可以登录
但是,有报告称第三方应用程序使用的某些令牌不受影响。 据The Register报道,在收到重置通知后创建新密码并没有阻止Twitter自己的移动应用程序或桌面客户端(例如TweetDeck)提交新帖子。 我们自己的Max Eddy说过他必须在周末更改其Twitter帐户的密码,但是他使用的第三方应用程序均未提示他使用较新的应用程序更新密码。
使用Twitter API的应用通常依赖于OAuth,这是一种用于跨多个站点进行身份验证的开放标准。 Twitter撤销的会话令牌似乎并未影响使用OAuth处理身份验证的应用。 一位人士告诉The Register,在删除并重新安装新密码之前,应用不会要求输入新密码。
McAfee的肖恩·杜卡(Sean Duca)表示:“当在一台设备上更改密码,而又有两台设备使用旧密码登录时,供应商应终止该给定帐户的所有打开会话。”
IOActive Labs的CTO Cesar Cerrudo告诉SecurityWatch,使用OAuth的应用程序在首次通过Web服务进行身份验证时会收到一个加密的会话密钥,并在以后的访问中发送该密钥。 这使第三方应用程序可以与所讨论的服务一起使用,而无需重复发送密码信息。
Cerrudo尚未考虑这种特殊情况,因此未提供有关发生情况的任何猜测。 SecurityWatch已与Twitter联系,了解如何处理OAuth会话,并正在等待回音。
根据公司针对开发人员使用OAuth的指南,根据政策,Twitter不会“当前使访问令牌过期”。 该指南说:“如果用户从其设置中明确拒绝您的应用程序,或者Twitter管理员暂停了您的应用程序,则您的访问令牌将无效。”
这将是过去几周与Twitter发生的第二起与OAuth有关的事件。 Cerrudo最近呼吁Twitter通知用户有关已悄悄解决的权限问题。
有关Fahmida的更多信息,请在Twitter @zdFYRashid上关注她。
