2 февраля 2013 в 05:19

Твиттер взломан. 250k аккаунтов под угрозой

В пятницу вечером (1 февраля) компания Twitter заявила, что на прошлой неделе ее системы были атакованы неизвестной группой хакеров. В результате атаки, злоумышленники, возможно, имели доступ к именам пользователей, адресам электронной почты и другой конфиденциальной информации почти четверти миллиона пользователей Twitter.

«На этой неделе мы обнаружили необычные схемы доступа, которые позволили нам обнаружить попытки несанкционированного доступа к данным пользователей Twitter. Мы обнаружили атаку и смогли закрыть её в процессе мгновение спустя», сообщает компания в своем блоге. «Тем не менее, исследование атаки указывает на то что, нападавшие, возможно, имели доступ к ограниченной информации пользователей — именам, адресам электронной почты, сессиям и зашифрованным паролям около 250 тысяч пользователей».

В пятницу вечером, Twitter разослал электронные письма тем пользователям, чьи аккаунты могли быть взломаны, уведомив их, что компания автоматически сбросит пароли, и необходимо запросить новые для доступа к сервису.
+49
39223
14
Frolenarzt 50,0

Комментарии (42)

–4
RuJet, #
Пошел проверять почту.
0
lightman, #
Я всё равно на всякий случай сменил.
0
InteractiveTechnology, #
Надо значит пароль иметь такой, чтобы хеш не подобрали, тогда менять не придётся :)
0
Graid, #
Не факт, иногда бывает достаточно хеша.
0
InteractiveTechnology, #
Конечно зависит от типа хеша, но с коллизиями маловероятный момент.
0
fshp, #
Да ещё и с солью.
+1
kreativf, #
Значит надо почту с двухфакторной аутентификацией.
0
lightman, #
Во-первых, неизвестно, какой тип хранения использует сервис, может открытым текстом (вспомните недавний скандал).
Во-вторых, пароли у меня достаточно сложные, но так приятно от мысли, если всё-таки база была утянута, а взломщик долго и муторно брутил хеш… наконец ценой нечеловеческих усилий нашел пароль (или коллизию), попытался залогиниться… и обломался, ибо всё давно было поменяно.
+1
areht, #
«нечеловеческие усилия» — это типа поиска по радужной таблице?
+4
lightman, #
Ну да, нечеловеческие, т.е. вычислительно-компьютерные.
0
fornex, #
я тоже и увидел письмо счастья: li.tl/v/PAu
0
Antares19, #
Интересно то, что буквально вчера вечером приходил запрос на сброс пароля от Твиттера.
(не сообщение что зросили, а именно как-будто кто-то нажал кнопку восстановить пароль)

На всякий случай сразу скачал бэкап твитов + включил запрос личной информации на восстановлении пароля.
–66
lenar, #
Надеюсь, основная часть этих аккаунтов — боты нашистов.
+69
StealthDogg, #
Пожалуйста, идите в ж… с вашей политикой из неполитических топиков.
–52
lenar, #
То есть вас устраивает ситуация в твиттере, когда эти боты ежедневно поднимают идиотские теги в топ? Тогда желаю вам пойти туда же.
+66
Anakros, #
Меня вообще не волнует какие теги выводят в топ.
+14
cyber_ua, #
Я за ~год использование твиттера, так и не понял зачем эти теги и где их смотреть:)
P.s не в том смысле что я не понимаю зачем они, я не понимаю как они мне могут быть интересны.
+2
TheMengzor, #
Любезно нажимайте «report» на каждом боте, если это вас так волнует. Или напишите своих ботов, которые будут выводить правильные теги в топ :)
+4
Lux_In_Tenebris, #
Здесь проблема известная: ботов достаточно много (тысячи, постоянно регистрируются всё новые спам-аккаунты) и неповоротливость техподдержки в подобных вопросах (особенно если ты не представляешь какую-то крупную компанию).
+1
lenar, #
Я нажимаю, когда не лень, не помогает :) Мне интересно видеть актуальные теги, а не зафорсенные #НавальныйПлохой, #АмериканцыЕдятДетей и т.п. бред, поднимаемый еще и на бюджетные деньги, то есть наши налоги.
0
StealthDogg, #
У вас тут провал с логикой — если весь этот «ужас» (в кавычках потому что мне пофиг на топ тегов) на бюджетные деньги, то вы пожелали только что второй заход для их траты — для перерегистрации акков. :)))) Выходит вы за попил бабла. :)
0
o4kareg, #
А есть инфа по поводу сбоя вечером 31 января?
–6
YoYa, #
Это не благодаря Flight — новый js-фреймворк от Twitter? Может совпадение.
+12
YoYa, #
Минусует «неизвестная группа хакеров».
+1
Equillibrium, #
Открывая на почте ежедневку с названием «Do you know what happened on Twitter today?» ожидал, что всё письмо будет посвящено взлому! :D А там опять только лучшие твиты из фида…
+1
Norty, #
> «На этой неделе мы обнаружили необычные схемы доступа, которые позволили нам обнаружить попытки несанкционированного доступа к данным пользователей Twitter. Мы обнаружили атаку и смогли закрыть её в процессе мгновение спустя»

Если обнаруживать, обнаруживая, то обнаружить.
+3
Chikey, #
250k это песчинка
+1
lega, #
Я думаю они могли назвать заниженное число (что-б не пугать людей) т.к. это тяжело проверить. Может было 10 Млн?
0
Athari, #
компания автоматически сбросит пароли, и необходимо запросить новые для доступа к сервису

Ну и какого чёрта?

Если у меня надёжный пароль, и мне глубоко пофиг на получение хэшей злоумышленниками (там не MD5, ведь правда?), то с какого перепуга Твиттер заставляет меня выдумывать новый пароль? Голову на отсечение даю, 99% юзеров припишет к старому паролю единичку или вообще вернёт старый пароль, если разрешат. В результате этот сброс не нужен ни гикам (у которых правильные пароли), ни домохозяйкам (которые новый пароль сгенерируют на основе старого).
0
Mendel, #
ну не факт что будут подбирать пароли «с единичками». У меня например другой алгоритм генерации новых паролей (когда сервисы задалбывают поменяй, да поменяй).
Да и юзеры тоже могут разнообразить, к примеру двоечку добавить.
Что касается взлома хэша, так могут и кого=то персонально брутить по хэшу. Откуда твиттеру знать кого будут брутить а кого нет?
Сброс пароля это уже на уровне инстинктов…
0
zBit, #
Многие ведь используют один пароль везде. Считай, получил доступ к хэшам паролей, значит эти хэши можно подобрать, если они, конечно же, без соли и угнать почту. Вот у меня самая офигенная, на мой взгляд, схема работы с почтой, которая гарантирует, что мой почтовый ящик не угонят) Я везде указываю адрес почтового ящика на своём домене, который только для почты и нужен, который редиректит мне всю почту уже на нормальный ящик. Ну получит он адрес той почты, ну подберёт даже пароль к аккаунту в твиттере, но на этом всё, даже если я использую почти везде один и тот же пароль)
Кстати, кто знает точно, в твиттере хэши с солью или без?
0
kamiram, #
а как насчет разных методов хеширования?
0
dasm32, #
Я везде указываю адрес почтового ящика на своём домене, который только для почты и нужен, который редиректит мне всю почту уже на нормальный ящик. Ну получит он адрес той почты, ну подберёт даже пароль к аккаунту в твиттере, но на этом всё, даже если я использую почти везде один и тот же пароль)
Кстати, кто знает точно, в твиттере хэши с солью или без?


Что-то я недопонял, не могли бы пояснить? Если Вы указываете везде «промежуточный» ящик, и его же используете для входа — то почему у злоумышленника не получится имея ваш пароль (тем или иным способом «восстановленный» из хеша) и адрес почты, на который Вы всегда все регистрируете, заиметь другие ваши аккаунты?
0
Mendel, #
Доступ к известной почте злоумышленник не получит, поскольку там в принципе может и не быть пароля как такового, а все настройки идут из панели хостинга (у меня у самого есть пару таких переадресаций, хоть для других целей), ну а пароль на хостинг люди обычно делают надежнее чем на разных сайтах.
Ну а к той почте которой он пользуется и где пароль может быть и совпадает (что глупо, ведь почта это последний оплот безопасности, у меня лично на главной почте самый крепкий пароль), то тут просто неизвестен логин.

Идея конечно забавная но слабая. Конечный адрес можно узнать хуманинжинирингом, просто напросившись на ответ. А на почте куда приходят пароли обязательно нужно иметь другой пароль.

ПЫСЫ: лично у меня на неважных сайтах идет одинаковый пароль + соль зависимая от собственно сайта. Т.о. в принципе на каждом сайте разные пароли, но даже попав на сайт на котором я и не помню как регистрировался я пароль вспомню.
0
dasm32, #
А на почте куда приходят пароли обязательно нужно иметь другой пароль.

Ну это понятно, однако зачем злоумышленнику вообще восстановление паролей на почту, если
даже если я использую почти везде один и тот же пароль

? :)
0
zBit, #
Злоумышленник пароль будет восстанавливать не на почту, а на аккаунт в твиттере, это во-первых. Во-вторых, часто бывает так, что человеку лень запоминать кучу паролей и он использует везде один-два пароля. Если злоумышленник восстановит пароль к твиитер акканту, при условии, что он помимо логинов и хешей получил ещё и мыло, а он его получил, то получить доступ к почте можно вообще легко.
И, наконец, в-третьих, самый банальный, применительно ко мне. Имея доступ к мылу можно угнать аккаунт от стиме. Угнав аккаунт от стима, не знаю как у большинства гиков здесь, но у меня можно купить кучу игр за мой счёт и подарить их другим аккаунтам. Или вообще на всегда потерять доступ к аккаунту в стиме.
Да много чего можно сделать имея доступ к почте. Всё зависит от того чем вы пользуетесь.
0
dasm32, #
что он помимо логинов и хешей получил ещё и мыло

Ну вот я о том и говорю, что если он получил дамп с хешами и почтовыми адресами, а Вы используете везде один и тот же пароль, то зачем ему вообще что-то куда-то восстанавливать, если у него уже есть и почта, на которую Вы вероятно регистрировали всё (или адрес вида %название_сервиса%@yourdomain.com), и Ваш восстановленный из хеша пароль?
0
Mendel, #
Является признаком хорошего тона запрашивать подтверждения критичных изменений в биллинге на почту/смс и т.п. К примеру смена кошельков для вывода из партнерок. Я на многие партнерки по несколько месяцев не захожу, а вот прочитать сообщение об изменении кошелька или о неожиданном выводе средств — это обязательно.

Мало ли какие могут быть причины?
Правильная безопасность всегда перестраховочна.
Невозможно предсказать все ситуации… но можно подстелить соломку в каждом узком месте.
+1
evil_random, #
Зашел недавно в твитер.
Из под моего аккаунта в декабре бот сделал 260 твитов.
Либо я где-то пароль потерял, что маловероятно, либо это не единственный случай взлома.
+1
mlurker, #
Была аналогичная ситуация. Пароль сложный, твитер аккаунтом пользовался только там.
–1
Scraelos, #
Я надеюсь, у них только хеши паролей были в базе?
+2
yuraminsk, #
ох, чувствую как всегда найдутся ребята которые воспользуются информационным фоном и начнут засылать фишинговые письма с настойчивой просьбой зайти на левый сайт и сменить пароль в «целях безопасности». ещё 250к человек из «группы риска» останутся без аккаунта.

Только зарегистрированные пользователи могут оставлять комментарии.
Войдите, пожалуйста.