Video: Violación en redes: tres jóvenes se graban abusando sexualmente de mujer inconsciente (Noviembre 2024)
Los atacantes pueden haber obtenido acceso a 250, 000 cuentas en Twitter, dijo el sitio de microblogging. Es hora de cambiar su contraseña… otra vez.
El equipo de seguridad del sitio identificó múltiples intentos de acceso por parte de personas no autorizadas para acceder a los datos de los usuarios esta semana, escribió Bob Lord, director de seguridad de la información, en el blog de Twitter el viernes por la tarde. La compañía también descubrió "un ataque en vivo" y lo cerró mientras todavía estaba en progreso momentos después, dijo Lord.
La investigación adicional reveló que los atacantes pudieron acceder a un subconjunto de datos de usuario, incluidos nombres de usuario, direcciones de correo electrónico, tokens de sesión y contraseñas cifradas / saladas, que pertenecen a aproximadamente 250, 000 usuarios, admitió Twitter en la publicación. Lord no proporcionó ninguna información adicional sobre la violación de seguridad, ni dijo si alguna de las cuentas expuestas había sido accedida ilegalmente.
"Como medida de seguridad preventiva, hemos restablecido las contraseñas y revocado los tokens de sesión para estas cuentas", escribió Lord.
Paul Ducklin en Sophos explica qué pueden hacer los atacantes con el token de sesión robado en el blog NakedSecurity.
Restablecer contraseñas!
Después de restablecer las contraseñas expuestas, Twitter notificó a los usuarios afectados por correo electrónico para crear una nueva contraseña. El correo electrónico recomienda a los usuarios seleccionar una contraseña segura (al menos 10 caracteres y no reutilizarla en ningún otro sitio o cuenta) para protegerse. Por supuesto, una contraseña de más de 10 caracteres también es mejor.
Si el usuario tuviera una contraseña débil, el hecho de que Twitter haya salado y cifrado las contraseñas no sería de gran ayuda, ya que los atacantes pueden usar varias herramientas para descifrar contraseñas para descubrir cuál era la cadena de contraseña original. Y si los usuarios hubieran usado la misma contraseña para otros sitios en línea, esas son las claves del reino de identidad del usuario, allí mismo.
El correo electrónico de notificación de Twitter es críptico, por decir lo menos. No menciona el ataque en absoluto, ni se vincula a la publicación real del blog. Simplemente informa al usuario que la contraseña puede haber sido comprometida y le ofrece al usuario un enlace para hacer clic para restablecer la contraseña. Hay otros enlaces a otras partes del sitio en el correo electrónico.
La carta "tenía todas las características de un correo electrónico de phishing", escribió el usuario de Twitter Simon Phipps. "Los usuarios NO deben ser entrenados para aceptar esto", agregó.
Nosotros en SecurityWatch lo hemos dicho antes y lo diremos nuevamente: no haga clic en los enlaces de los correos electrónicos. Cualquiera puede simular una nota como esta y enviarla a usuarios aleatorios. Como Phipps señaló en un tuit diferente, sería "difícil saberlo de inmediato". Hubo informes en Twitter de que una campaña de spam ya puede estar en curso.
Si recibe un correo electrónico pidiéndole que restablezca su contraseña de Twitter, solo tómese un segundo para ir manualmente al sitio de Twitter y haga clic en el enlace "Olvidé mi contraseña". Si tiene que hacer clic en un enlace en un correo electrónico, al menos haga clic en un enlace en el correo electrónico que solicitó.
Whodunnit? ¿Quién sabe?
Lord no especuló sobre quién pudo haber estado detrás de los ataques.
"Este ataque no fue obra de aficionados, y no creemos que haya sido un incidente aislado. Los atacantes fueron extremadamente sofisticados, y creemos que otras compañías y organizaciones también han sido atacadas recientemente de manera similar", escribió Lord.
Sin embargo, la publicación de Lord mencionó los ataques contra el New York Times desde China esta semana y el reciente aviso del Departamento de Seguridad Nacional que recomienda a los usuarios desactivar Java en sus navegadores. Si bien se informa que Twitter usa Java en su infraestructura, no parece haber ningún applet de Java en el sitio en sí, por lo que la recomendación de deshabilitar Java en el navegador es desconcertante en este contexto.
La policía federal y los funcionarios del gobierno están investigando el incidente, dijo Twitter.
