该微博网站称,攻击者可能已经在Twitter上访问了25万个帐户。 再次更改密码的时间到了。
信息安全主管鲍勃·洛德(Bob Lord)在周五下午在Twitter博客上写道,该网站的安全团队确定了未经授权的个人本周多次尝试访问用户数据。 洛德说,该公司还发现了“一次现场攻击”,并在仍在进行中时将其关闭。
进一步调查显示,攻击者能够访问用户数据的子集,其中包括用户名,电子邮件地址,会话令牌和加密/咸密码,大约属于25万用户,Twitter在帖子中承认。 Lord没有提供有关此安全漏洞的任何其他信息,也没有说任何暴露的帐户是否已被非法访问。
洛德写道:“作为一种预防性的安全措施,我们为这些帐户重置了密码并撤销了会话令牌。”
Sophos的Paul Ducklin在NakedSecurity博客上解释了攻击者可以使用被盗的会话令牌做什么。
重设密码!
重置公开的密码后,Twitter通过电子邮件通知受影响的用户以创建新密码。 该电子邮件建议用户选择一个强密码(至少10个字符,并且不能在任何其他网站或帐户上重复使用)以保护自己。 当然,长度超过10个字符的密码也更好。
如果用户的密码很弱,那么Twitter对密码进行了盐化和加密的事实将无济于事,因为攻击者可以使用各种密码破解工具来找出原始密码字符串是什么。 如果用户在其他在线站点上使用了相同的密码,那么这就是用户身份王国的密钥。
至少可以说,来自Twitter的通知电子邮件是神秘的。 它根本没有提到攻击,也没有链接到实际的博客文章。 它只是告知用户密码可能已被泄露,并为用户提供了单击以重置密码的链接。 电子邮件中还有指向网站其他部分的其他链接。
Twitter用户西蒙·菲普斯(Simon Phipps)写道,这封信“具有网络钓鱼电子邮件的所有特征”。 他补充说:“不应培训用户接受这一点。”
我们在 SecurityWatch 之前已经说过,我们将再说一遍:不要单击电子邮件中的链接。 任何人都可以模拟这样的便笺,然后将其发送给随机用户。 正如Phipps在另一条推文中指出的那样,“很难立即说出来”。 Twitter上有报道称垃圾邮件运动可能已经在进行中。
如果您收到一封电子邮件,要求您重置Twitter密码,请花一秒钟时间手动转到Twitter的站点,然后单击“忘记密码”链接。 如果您必须单击电子邮件中的链接,请至少单击您请求的电子邮件中的链接。
谁知道的? 谁知道?
洛德没有猜测谁可能是袭击的幕后黑手。
洛德写道:“这次攻击不是业余人员的工作,我们不认为这是一起孤立的事件。攻击者极为复杂,我们认为其他公司和组织最近也遭到了类似的攻击。”
但是,Lord的帖子提到了本周中国对纽约时报的攻击,以及国土安全部最近的建议,建议用户禁用浏览器中的Java。 尽管据报道Twitter在其基础架构中使用Java,但网站本身似乎没有Java小程序,因此在这种情况下,在浏览器中禁用Java的建议令人费解。
Twitter说,联邦执法部门和政府官员正在调查这一事件。
