Video: Tweet limits.. how many tweets you can do in a day..? (November 2024)
Ak ste jedným z 250 000 používateľov služby Twitter, ktorí dostali e-mail na obnovenie hesla v piatok, dúfajme, že ste už svoje heslo zmenili. Ak na uverejňovanie príspevkov na Twitteri používate aplikácie tretích strán, je možné, že tieto aplikácie stále používajú vaše staré poverenia. Odinštalujte a znova nainštalujte aplikácie, aby boli na bezpečnej strane.
Ako sme o víkendu informovali o programe SecurityWatch, útočníci ukradli používateľské mená, e-mailové adresy, tokeny relácií a heslá so slanou a hashovanou hodnotou. Tokeny relácie sú špeciálny typ kryptografických súborov cookie, ktoré informujú webovú stránku mikroblogov o tom, že používateľ je už prihlásený. Pokiaľ je token relácie stále platný (nevyprší platnosť, zrušený alebo odstránený), používatelia sa môžu vrátiť na Twitter bez prihlásenia. zakaždým.
Zrušenie týchto tokenov relácie, ako to povedal Twitter, zaisťuje, že útočníci, ktorým sa podarilo zachytiť tokeny, nemôžu získať prístup k vášmu účtu. Ak vezmeme do úvahy množstvo škodlivého softvéru na ukradnutie údajov, ktorý zhromažďuje súbory cookie z infikovaných počítačov, resetovanie tokenu je pre používateľov nepohodlné (pre opätovné prihlásenie), ale efektívne zabraňuje útočníkom.
Aplikácie sa môžu prihlásiť
Existujú však správy, že niektoré tokeny používané aplikáciami tretích strán neboli ovplyvnené. Vytvorenie nového hesla po prijatí oznámenia o resetovaní nezabránilo mobilným aplikáciám Twitter alebo klientom stolného počítača, ako je napríklad TweetDeck, odosielať nové príspevky. Náš vlastný Max Eddy povedal, že cez víkend musel zmeniť heslá na svoje účty Twitter, ale žiadna z aplikácií tretích strán, ktoré použil, ho nevyzývala na aktualizáciu hesla s novším.
Aplikácie využívajúce Twitter API sa zvyčajne spoliehajú na OAuth, otvorený štandard pre autentifikáciu na viacerých weboch. Nezdá sa, že by tokeny relácie, ktoré Twitter zrušil, ovplyvnili aplikácie, ktoré na overovanie používali protokol OAuth. Jedna osoba oznámila registru, že aplikácie nepožiadali o nové heslo, kým nebolo odstránené a znovu nainštalované.
„Ak sa heslo zmení na jednom zariadení a vy máte prihlásené ďalšie dve zariadenia pomocou starého hesla (napríklad), predajca by mal ukončiť všetky otvorené relácie pre daný účet, “ informoval The Register McAfee's Sean Duca.
Aplikácie používajúce protokol OAuth dostanú kryptografický kľúč relácie pri prvej autentifikácii pomocou webovej služby a tieto kľúče odošle pri nasledujúcich návštevách, povedal agentúre SecurityWatch Cesar Cerrudo, CTO IOActive Labs. To umožňuje aplikáciám tretích strán spolupracovať s príslušnou službou bez opakovaného odosielania informácií o hesle.
Cerrudo sa na túto konkrétnu situáciu zatiaľ nezaoberalo, a tak neponúkal žiadne odhady toho, čo sa deje. SecurityWatch oslovil Twitter o tom, ako zaobchádza s reláciami OAuth a čaká, až ich budete počuť.
Podľa zásad spoločnosť Twitter „v súčasnosti nevyprší prístupové tokeny“, podľa pokynov spoločnosti pre vývojárov v používaní protokolu OAuth. „Váš prístupový token bude neplatný, ak používateľ výslovne odmietne vašu aplikáciu zo svojich nastavení alebo ak správca Twitter pozastaví vašu aplikáciu, “ uviedli sa v pokynoch.
Bol by to druhý prípad, ktorý súvisí s OAuth, s Twitterom v posledných niekoľkých týždňoch. Cerrudo nedávno vyzvalo Twitter, aby upovedomil používateľov o probléme s oprávneniami, ktorý mal ticho opravený.
Ak chcete získať viac informácií od spoločnosti Fahmida, sledujte ju na Twitteri @zdFYRashid.