Artykuły dotyczące tematu: twitter

dodany: 22.04.2013 | tagi: , ,

Twitter bawi się w kotka i myszkę z Syryjską Armią Elektroniczną

0

Zespół ds. bezpieczeństwa Twittera wydaje się grać w kotka i myszkę z grupą znanych wszystkim hakerów, którzy zamiast trzymać się swojego konta postanowili zagarnąć także inne.

Syryjska Armia Elektroniczna (z ang. Syrian Electronic Army, w skr. SEA) w ostatnich tygodniach polubiła przejmowanie kont twitterowych należących do amerykańskich i angielskich telewizji NPR, BBC i CBS.

Konta należące do CBS to ostatnie ofiary SEA. Hakerzy włamali się i przejęli konto programu „60 minutes” i „CBSDenver”. Na profilach zaczęły pojawiać się fałszywe wiadomości. Niektóre z nich zawierały linki do zainfekowanych stron interetowych.

Co w tej sprawie zrobił Twitter? Zawiesił konto „60Minutes”, ale nie tylko. Oficjalna strona SEA, „Official_SEA” również została zawieszona, a wraz z nią każde kolejne nowe konto tworzone przez SEA do walki z Twitterem.

Hakerzy nie ustali w kreowaniu nowych kont, twórczo nazwanych : „SEA_Official3”, „Official_SEA5”. Jak się pewnie domyślacie oba zostały również zawieszone. Ale nie żeby to powstrzymało SEA od kreowania nowych oficjalnych kont…

Poniżej kilka fałszywych wiadomości, które pokazały się na oficjalnym koncie programu „60  Minutes” na Twitterze po jego przejęciu:

60minutSEA

dodany: 23.03.2013 | tagi: , ,

Syryjska Armia Elektroniczna zhakowała konto BBC Weather na Twitterze

0

Znana już od jakiegoś czasu grupa nazywająca siebie Syryjską Armią Elektroniczną (z ang. Syrian Electronic Army, w skr. SEA) postanowiła włamać się i przejąć konto BBC Weather na Twitterze.

SEA zaczęła wypisywać przedziwne wiadomości, które nie należały do typowych wiadomości o pogodzie, jak na przykład Ostrzeżenie dla Hajfy o tsunami, przebywających tam prosimy o powrót do Polski:

bbc-weather1

Źródło: Twitter

 

Nie wiadomo do końca w jaki sposób SEA zdobyło dostęp do konta na Twitterze, ale wiadomo, że BBC Weather nie miało żadnej kontroli nad publikowanymi tweetami.

Niewątpliwym plusem całej sytuacji jest to, że SEA tylko publikuje dziwne treści, bez szerzenia złośliwych linków, które chyba mają być pewnego rodzaju politycznymi przesłaniami grupy.

bbc-weather-sea-1

Źródło: Twitter

 

To już kolejny raz, kiedy korporacyjna marka zostaje zhakowana na Twitterze. Widać także, że kolejna z nich nie chce używać oferowanych przez Twittera dodatkowych poziomów ochrony, w tym dwuskładnikowego uwierzytelniania.

BBC powiedziało Naked Security, że wszczęto  śledztwo w tej sprawie.

dodany: 11.03.2013 | tagi: , , ,

Jak odpalić nieautoryzowane aplikacje w Twitterze

1

Twitter podobnie jak Facebook korzysta z metody uwierzytelniania OAuth. Niestety nie jest ona doskonała – ostatnio informowaliśmy Was jakie niebezpieczeństwo owe API powodowało w przypadku FB  (zobacz newsa: Poważna luka w module Facebooka), a teraz wyszło na jaw, że jest problem z Twitterem, choć przyczyna jest zdecydowanie inna, gdyż w tym wypadku wyciekły klucze, które pozwalają na autoryzację zewnętrznych aplikacji. Dzięki temu możliwe jest uruchomienie dowolnej aplikacji, która może zrobić z naszym kontem praktycznie wszystko – włącznie z czytaniem prywatnych wiadomości!

Owe klucze składają się z dwóch elementów: jeden to consumer key, natomiast drugi do consumer secret. Krótko mówiąc zestaw ten jest odpowiednikiem login/hasło, który pozwala na uwierzytelnienie aplikacji w powiązaniu z Twitterem. Klucze te są dostępne w serwisie GitHub.

Oto przykładowy zestaw dla Google TV:

Inne opublikowane klucze są dostępne dla iPhone’a, Androida, iPada, Maca, Windows Phone oraz TweetDeck.

Oczywiście ujawnione klucze zostały zresetowane, ale to nie rozwiązuje problemu – kto wie, kiedy pojawi się ich aktualizacja? Właśnie taka sytuacja miała teraz miejsce – wcześniej klucze zostały opublikowane 5 miesięcy temu. Metoda OAuth została wprowadzona w Twitterze w sierpniu 2010 roku.

To nie jedyna wpadka z API OAuth – w ostatnim czasie wykryto, że pomimo zmiany hasła, token uzyskany przy logowaniu na starym haśle nadal działał.

dodany: 23.02.2013 | tagi: , , , ,

Hack na Zendesk skompromitował dane użytkowników Twittera, Tumblr i Pinteresta

4

Nastały czasy, w których mało który użytkownik Internetu, a zwłaszcza wszelakich portali społecznościowych, może czuć się bezpiecznie.

Dane trzech z najpopularniejszych mediów społecznościowych zostały naruszone. Ale to nie one były bezpośrednim celem ataku. Nazwałabym je raczej skutkiem ubocznym całego zdarzenia.

Firma zajmująca się wsparciem technicznym klienta, Zendesk, ujawniła dziś na swoim blogu, że stała się ofiarą naruszenia bezpieczeństwa, i jakby tego było mało, informacje trzech z jej klientów zostały pobrane przez atakujących. Wired jako pierwsze opublikowało nazwy tych klientów. Byli to Twitter, Tumblr i Pinterest.

W oświadczeniu na blogu pojawiła się informacja, że „usterka” została natychmiast znaleziona i załatana:

Nasze trwające śledztwo wskazuje, że haker miał dostęp do informacji o pomocy trzech z naszych klientów, które były przechowywane w naszym systemie. Najprawdopodobniej haker pobrał adresy e-mail użytkowników, którzy kontaktowali się w sprawach wsparcia i pomocy z ramienia naszych trzech klientów. Powiadomiliśmy o wszystkim naszych klientów i pracujemy wraz z nimi nad rozwiązaniem tego problemu.

Chociaż Zendesk nie podaje nazw swoich klientów, niektórzy użytkownicy zaczęli otrzymywać ostrzeżenia, że mogli zostać ofiarami naruszenia.

Tumblr wystosował e-mail do redakcji CNET, którego treść wyraźnie wskazuje na bycie jednym z trzech zainteresowanych klientów:

Jeśli maile, które zostały wysłane do Tumblr Support zawierały adresy waszych blogów, może stać się tak, że wasze adresy e-mailowe zostaną z nimi powiązane. Wszelkie informacje, jakie zawarliście w e-mailach do Tumblr Support mogą zostać wyeksponowane i narażone. Zalecamy zapoznanie się z korespondencją wysyłaną przez was na którykolwiek z poniższych adresów:

abuse@tumblr.com, support@tumblr.com, dmca@tumblr.com, legal@tumblr.com, enquiries@tumblr.com lub lawenforcement@tumblr.com.

 

dodany: 21.02.2013 | tagi: , , , ,

Twitter zabezpiecza przed phishingiem

0

Serwis Twitter wprowadził dzisiaj nowy mechanizm bezpieczeństwa. Wpływ na to miały ostatnie ataki (zobacz newsa: Twitter zabezpiecza przez phishingiem). Zmiana dotyczy samych e-maili, a konkretnie  ma zapobiec phishingowi – nie raz użytkownicy byli informowani o konieczności zaktualizowania swoich danych etc. rzekomo na prośbę serwisu. Właśnie przed tym ma chronić wprowadzony mechanizm DMARC.

Co to jest DMARC?

DMARC jest skrótem od słów Domain-based Message Authentication, Reporting & Conformance. DMARC standaryzuje mechanizmy kontroli za pomocą rekordów SPF (Sender Policy Framework) oraz kluczy DKIM (DomainKeys Identified Mail), które mają zapewnić o wiarygodności e-maila. DMARC nie jest niczym nowym – dotychczas z powodzeniem stosują go: AOL, Gmail, Hotmail oraz Yahoo!

Rekord SPF jest typem rekordu usługi Domain Name Service (w skr. DNS), który identyfikuje serwery poczty uprawnione do wysyłania poczty e-mail w imieniu danej domeny. Sam klucz DKIM pozwala natomiast odbiorcom na weryfikację sygnatury domeny w celu potwierdzenia, że wiadomość naprawdę pochodzi z domeny i że nie została po drodze zmieniona.

 

DMARC_author-to-recipient_flow

Dobrze, że chociaż Twitter sukcesywnie pracuje nad bezpieczeństwem, zamiast skupiać się na ratowaniu spadającej popularności.
Drugą stroną medalu jest fakt, że teoretycznie 1024-bitowy klucz DKIM jest możliwy do złamania (zobacz newsa: Google, Yahoo i Microsoft wzmacniają swoją pocztę).

dodany: 03.02.2013 | tagi: ,

Porażka Twittera

0

Nie tylko Facebook ma problemy z bezpieczeństwem – tym razem klęskę swojej linii obrony „zaliczył” Twitter. Ofiarami ataków mogło paść aż 250 tysięcy kont. Administratorzy zorientowali się niestety dość późno-włamanie rozpoczęło się o bliżej nieokreślonej porze w tym tygodniu… Dopiero po czasie zauważyli, że występuje dość niestandardowy dostęp do danych użytkowników.

Pracownik Twittera na swoim blogu podał, że atakujący mieli na szczęście ograniczony dostęp do danych – były to nazwa użytkownika, jego e-mail, tokeny sesji, zahashowane hasła.

Oczywiście profilaktycznie wszyscy, którzy mogli paść ofiarą skradzionych danych zostali o tym poinformowani oraz zalecono im zmianę hasła na bardzo silne. Oprócz tego odświeżono tokeny sesji.

Niestety nie wiadomo w jaki sposób hakerzy uzyskali dostęp – na blogu jest jedynie informacja, iż stosowali wyrafinowane metody oraz, że prawdopodobnie wykorzystali fakt zero-day w naszym „ulubionym” produkcie firmy Oracle – z tego powodu zalecono też użytkownikom wyłączenie Javy. Niektóre portale przypisywały atak Anonymous, co jest błędną informacją.

dodany: 23.01.2013 | tagi: , ,

Twitter też nie lepszy od Facebooka

1

O ile już niemal zdążyliśmy się przyzwyczaić do notorycznych niebezpieczeństw związanych z używaniem „fejsbukowych” aplikacji, to w przypadku Twittera problem ten był niemal znikomy. Niestety wraz ze zmniejszającą się popularnością Facebooka, sytuacja na rynku zaczęła się zmieniać.

Na szczęście są ludzie, którzy badają takie aplikacje – jednym  z nich jest Cesar Cerrudo, który jest badaczem bezpieczeństwa w firmie IOActive. Tym razem testował on aplikacje podpisywane przez Twittera.

Jaki jest problem?

Cerrudo odkrył błąd w kodzie Twittera, który zezwalał zewnętrznym aplikacjom na dostęp do bezpośrednich wiadomości prywatnych. Najgorszy jest fakt, że testowana przez niego aplikacja uzyskała dostęp do tych wiadomości bez jakiegokolwiek uwierzytelniania.

Użytkownik, aby pozostać bezpieczny, musi we własnym zakresie nadzorować dostęp aplikacji, podobnie jak to ma miejsce na FB. Problem jest o tyle uciążliwy, gdyż Twitter nawet nie ostrzega o nieautoryzowanym dostępie do naszych wiadomości. Testowana przez niego aplikacja nie tylko miała dostęp do odczytu wiadomości bezpośrednich, ale także umożliwiała ich tworzenie.

Ciekawe jest to, że podczas pierwszego testu aplikacji, Twitter poinformował Cerrudo o dostępie aplikacji do wglądu jego publicznych wpisów, postów jego konta oraz osób śledzących. Nie było natomiast słowa o wiadomościach bezpośrednich. Usterka jest o tyle ciekawa, gdyż na pierwszy rzut oka wszystko było w porządku – podczas pierwszej próby logowania aplikacja nie miała dostępu do wspomnianych wiadomości. Niestety przy kolejnych logowaniach poziom uprawnień do konta jakby samoistnie się zwiększał.

Badacz nie był w stanie wyjaśnić tego zachowania, dlatego zgłosił tę sprawę twórcom serwisu. Ci co prawda zareagowali naprawiając buga, ale zastrzegli sobie, że Twitter nadal wymaga nieco ulepszeń, szczególnie w kwestii informowania użytkowników o naruszeniach ich prywatności.

Cóż – dobrze, że chociaż przyznają się do niedociągnięć….

 

dodany: 15.10.2012 | tagi: ,

Uwaga na bezpośrednie wiadomości w Twitterze

0

W sieci kilku użytkowników zgłosiło pojawienie się niebezpiecznej wiadomości, która jest typu bezpośredniego (z ang Direct message). Jej treść jest następująca:  „My profile was viewed..times..today” (‚Mój profil odwiedzono..ilość razy..dzisiaj’).

Oprócz tego jest link – jeśli ktoś go kliknie, to nasze konto może zostać przejęte i użyte w roli twitterowego spamera, albowiem każdy śledzony przez nas tweet otrzyma właśnie taką samą wiadomość, jak ta wyżej wymieniona.

Zagrożenie to jest typowym scammem, który ma w rezultacie posłużyć do przejęcia naszego konta. Jedynym zabezpieczeniem przed tym atakiem jest bezpośrednie skasowanie wiadomości.

dodany: 02.10.2012 | tagi: , ,

Twitterowcy narażeni

0

Użytkownicy Twittera, szczególnie ci, którzy mają interesujące konta, mogą paść ofiarą kradzieży. Jak przekonuje Daniel Dennis Jones, który posiada konto @blanket jest on często atakowany przez hakerów. Sęk w tym, że twitterowy mechanizm resetowania hasła pozwala niepożądanym osobom spróbować złamać je za pomocą metody brute force.

Winne są temu zbyt słabe restrykcje co do ilości prób odgadnięcia hasła z danego adresu IP. Dla bezpieczeństwa restrykcja powinna dotyczyć ogólnie konkretnego konta. Obecnie szanse na odgadnięcie hasła zwiększają się z ilością adresów IP, z których haker podejmuje próby. Taki poziom zabezpieczeń jest wyraźnie niższy od konkurencji.

Posiadaczowi nieszczęsnego konta zmieniono nazwę użytkownika na @FuckMyAssHoleLO. Oprócz tego właściciel znalazł informacje na temat sprzedaży jego konta na forum.korner.com. Póki co, właściciele Twittera nie ustosunkowali się do tego.