Vídeo: if haikyuu characters had twitter pt 4 (De novembre 2024)
Si sou dels 250.000 usuaris de Twitter que divendres van rebre el missatge de restabliment de la contrasenya, esperem que ja hagueu canviat la vostra contrasenya. Si utilitzeu aplicacions de tercers per publicar-les a Twitter, és possible que aquestes aplicacions continuïn utilitzant les vostres credencials antigues. Desinstal·leu i torneu a instal·lar les aplicacions perquè siguin un lloc segur.
Segons vam informar a SecurityWatch durant el cap de setmana, els atacants van robar noms d’usuari, adreces de correu electrònic, fitxes de sessió i contrasenyes amb sal i sal. Els fitxes de sessió són un tipus especial de cookies criptogràfiques que informen al lloc de micro-bloc que l'usuari ja està connectat. Mentre el testimoni de sessió segueix vigent (no caducat, revocat o suprimit), els usuaris poden tornar a Twitter sense tornar-se a registrar. en cada època.
El fet de revocar aquestes fitxes de sessió, tal com va dir Twitter, garanteix que els atacants que han aconseguit interceptar les fitxes no puguin accedir al vostre compte. Tenint en compte la quantitat de programari maliciós que roben dades que recopilen cookies d’ordinadors infectats, restablir el testimoni no és convenient per als usuaris (per haver de tornar a iniciar la sessió), però és eficaç per evitar que els atacants.
Les aplicacions poden iniciar-se
Tot i això, hi ha informes que algunes de les fitxes utilitzades per aplicacions de tercers no estaven afectades. La creació d’una nova contrasenya després de rebre la notificació de restabliment no va impedir que les aplicacions mòbils de Twitter o els clients d’escriptori, com TweetDeck, no enviessin publicacions noves, va informar The Register. El nostre propi Max Eddy va dir que havia de canviar les contrasenyes als seus comptes de Twitter durant el cap de setmana, però cap de les aplicacions de tercers que va utilitzar el va impulsar a actualitzar la contrasenya amb la nova.
Les aplicacions que utilitzen l'API de Twitter normalment es basen en OAuth, un estàndard obert per a l'autenticació a diversos llocs. Sembla que les fitxes de sessió de Twitter revocades no han afectat aplicacions que utilitzaven OAuth per gestionar l'autenticació. Una persona va dir a The Register que les aplicacions no van sol·licitar la nova contrasenya fins que no es suprimís i es tornés a instal·lar.
"Quan es canvia una contrasenya en un dispositiu i teniu dos altres dispositius connectats amb la contrasenya antiga (per exemple), el venedor hauria de finalitzar totes les sessions obertes del compte", va dir Sean Duca de McAfee, a The Register.
Les aplicacions que utilitzen OAuth reben una clau de sessió criptogràfica la primera vegada que s'autentica amb el servei web i envien les claus de les visites posteriors, va dir a SecurityWatch Cesar Cerrudo, CTO de IOActive Labs. Això permet que les aplicacions de tercers funcionin amb el servei en qüestió sense haver enviat repetidament informació de contrasenya.
Cerrudo encara no havia mirat aquesta situació particular, per la qual cosa no va oferir cap idea sobre el que estava passant. SecurityWatch ha arribat a Twitter sobre com tracta les sessions OAuth i està pendent de saber-ho.
Per política, Twitter no “caduca actualment les fitxes d’accés”, segons la guia de la companyia als desenvolupadors sobre l’ús d’OAuth. "El token d'accés no serà vàlid si un usuari rebutja explícitament la seva aplicació de la seva configuració o si un administrador de Twitter suspèn la seva aplicació", va dir la guia.
Aquest seria el segon incident relacionat amb OAuth amb Twitter les darreres setmanes. Cerrudo va trucar recentment a Twitter per avisar els usuaris sobre un problema de permisos que havia solucionat en silenci.
Per obtenir més informació sobre Fahmida, seguiu-la a Twitter @zdFYRashid.