Пользователь
0,1
рейтинг
2 февраля 2013 в 05:19

Разработка → Твиттер взломан. 250k аккаунтов под угрозой

В пятницу вечером (1 февраля) компания Twitter заявила, что на прошлой неделе ее системы были атакованы неизвестной группой хакеров. В результате атаки, злоумышленники, возможно, имели доступ к именам пользователей, адресам электронной почты и другой конфиденциальной информации почти четверти миллиона пользователей Twitter.

«На этой неделе мы обнаружили необычные схемы доступа, которые позволили нам обнаружить попытки несанкционированного доступа к данным пользователей Twitter. Мы обнаружили атаку и смогли закрыть её в процессе мгновение спустя», сообщает компания в своем блоге. «Тем не менее, исследование атаки указывает на то что, нападавшие, возможно, имели доступ к ограниченной информации пользователей — именам, адресам электронной почты, сессиям и зашифрованным паролям около 250 тысяч пользователей».

В пятницу вечером, Twitter разослал электронные письма тем пользователям, чьи аккаунты могли быть взломаны, уведомив их, что компания автоматически сбросит пароли, и необходимо запросить новые для доступа к сервису.
@Frolenarzt
карма
102,0
рейтинг 0,1
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (42)

  • –4
    Пошел проверять почту.
    • 0
      Я всё равно на всякий случай сменил.
      • 0
        Надо значит пароль иметь такой, чтобы хеш не подобрали, тогда менять не придётся :)
        • 0
          Не факт, иногда бывает достаточно хеша.
          • 0
            Конечно зависит от типа хеша, но с коллизиями маловероятный момент.
        • 0
          Да ещё и с солью.
        • +1
          Значит надо почту с двухфакторной аутентификацией.
        • 0
          Во-первых, неизвестно, какой тип хранения использует сервис, может открытым текстом (вспомните недавний скандал).
          Во-вторых, пароли у меня достаточно сложные, но так приятно от мысли, если всё-таки база была утянута, а взломщик долго и муторно брутил хеш… наконец ценой нечеловеческих усилий нашел пароль (или коллизию), попытался залогиниться… и обломался, ибо всё давно было поменяно.
          • +1
            «нечеловеческие усилия» — это типа поиска по радужной таблице?
            • +4
              Ну да, нечеловеческие, т.е. вычислительно-компьютерные.
    • 0
      я тоже и увидел письмо счастья: li.tl/v/PAu
  • 0
    Интересно то, что буквально вчера вечером приходил запрос на сброс пароля от Твиттера.
    (не сообщение что зросили, а именно как-будто кто-то нажал кнопку восстановить пароль)

    На всякий случай сразу скачал бэкап твитов + включил запрос личной информации на восстановлении пароля.
  • –66
    Надеюсь, основная часть этих аккаунтов — боты нашистов.
    • +69
      Пожалуйста, идите в ж… с вашей политикой из неполитических топиков.
      • –52
        То есть вас устраивает ситуация в твиттере, когда эти боты ежедневно поднимают идиотские теги в топ? Тогда желаю вам пойти туда же.
        • +66
          Меня вообще не волнует какие теги выводят в топ.
          • +14
            Я за ~год использование твиттера, так и не понял зачем эти теги и где их смотреть:)
            P.s не в том смысле что я не понимаю зачем они, я не понимаю как они мне могут быть интересны.
    • +2
      Любезно нажимайте «report» на каждом боте, если это вас так волнует. Или напишите своих ботов, которые будут выводить правильные теги в топ :)
      • +4
        Здесь проблема известная: ботов достаточно много (тысячи, постоянно регистрируются всё новые спам-аккаунты) и неповоротливость техподдержки в подобных вопросах (особенно если ты не представляешь какую-то крупную компанию).
      • +1
        Я нажимаю, когда не лень, не помогает :) Мне интересно видеть актуальные теги, а не зафорсенные #НавальныйПлохой, #АмериканцыЕдятДетей и т.п. бред, поднимаемый еще и на бюджетные деньги, то есть наши налоги.
        • 0
          У вас тут провал с логикой — если весь этот «ужас» (в кавычках потому что мне пофиг на топ тегов) на бюджетные деньги, то вы пожелали только что второй заход для их траты — для перерегистрации акков. :)))) Выходит вы за попил бабла. :)
  • 0
    А есть инфа по поводу сбоя вечером 31 января?
  • –6
    Это не благодаря Flight — новый js-фреймворк от Twitter? Может совпадение.
    • +12
      Минусует «неизвестная группа хакеров».
  • +1
    Открывая на почте ежедневку с названием «Do you know what happened on Twitter today?» ожидал, что всё письмо будет посвящено взлому! :D А там опять только лучшие твиты из фида…
  • +1
    > «На этой неделе мы обнаружили необычные схемы доступа, которые позволили нам обнаружить попытки несанкционированного доступа к данным пользователей Twitter. Мы обнаружили атаку и смогли закрыть её в процессе мгновение спустя»

    Если обнаруживать, обнаруживая, то обнаружить.
  • +3
    250k это песчинка
    • +1
      Я думаю они могли назвать заниженное число (что-б не пугать людей) т.к. это тяжело проверить. Может было 10 Млн?
  • 0
    компания автоматически сбросит пароли, и необходимо запросить новые для доступа к сервису

    Ну и какого чёрта?

    Если у меня надёжный пароль, и мне глубоко пофиг на получение хэшей злоумышленниками (там не MD5, ведь правда?), то с какого перепуга Твиттер заставляет меня выдумывать новый пароль? Голову на отсечение даю, 99% юзеров припишет к старому паролю единичку или вообще вернёт старый пароль, если разрешат. В результате этот сброс не нужен ни гикам (у которых правильные пароли), ни домохозяйкам (которые новый пароль сгенерируют на основе старого).
    • 0
      ну не факт что будут подбирать пароли «с единичками». У меня например другой алгоритм генерации новых паролей (когда сервисы задалбывают поменяй, да поменяй).
      Да и юзеры тоже могут разнообразить, к примеру двоечку добавить.
      Что касается взлома хэша, так могут и кого=то персонально брутить по хэшу. Откуда твиттеру знать кого будут брутить а кого нет?
      Сброс пароля это уже на уровне инстинктов…
  • 0
    Многие ведь используют один пароль везде. Считай, получил доступ к хэшам паролей, значит эти хэши можно подобрать, если они, конечно же, без соли и угнать почту. Вот у меня самая офигенная, на мой взгляд, схема работы с почтой, которая гарантирует, что мой почтовый ящик не угонят) Я везде указываю адрес почтового ящика на своём домене, который только для почты и нужен, который редиректит мне всю почту уже на нормальный ящик. Ну получит он адрес той почты, ну подберёт даже пароль к аккаунту в твиттере, но на этом всё, даже если я использую почти везде один и тот же пароль)
    Кстати, кто знает точно, в твиттере хэши с солью или без?
    • 0
      а как насчет разных методов хеширования?
    • 0
      Я везде указываю адрес почтового ящика на своём домене, который только для почты и нужен, который редиректит мне всю почту уже на нормальный ящик. Ну получит он адрес той почты, ну подберёт даже пароль к аккаунту в твиттере, но на этом всё, даже если я использую почти везде один и тот же пароль)
      Кстати, кто знает точно, в твиттере хэши с солью или без?


      Что-то я недопонял, не могли бы пояснить? Если Вы указываете везде «промежуточный» ящик, и его же используете для входа — то почему у злоумышленника не получится имея ваш пароль (тем или иным способом «восстановленный» из хеша) и адрес почты, на который Вы всегда все регистрируете, заиметь другие ваши аккаунты?
      • 0
        Доступ к известной почте злоумышленник не получит, поскольку там в принципе может и не быть пароля как такового, а все настройки идут из панели хостинга (у меня у самого есть пару таких переадресаций, хоть для других целей), ну а пароль на хостинг люди обычно делают надежнее чем на разных сайтах.
        Ну а к той почте которой он пользуется и где пароль может быть и совпадает (что глупо, ведь почта это последний оплот безопасности, у меня лично на главной почте самый крепкий пароль), то тут просто неизвестен логин.

        Идея конечно забавная но слабая. Конечный адрес можно узнать хуманинжинирингом, просто напросившись на ответ. А на почте куда приходят пароли обязательно нужно иметь другой пароль.

        ПЫСЫ: лично у меня на неважных сайтах идет одинаковый пароль + соль зависимая от собственно сайта. Т.о. в принципе на каждом сайте разные пароли, но даже попав на сайт на котором я и не помню как регистрировался я пароль вспомню.
        • 0
          А на почте куда приходят пароли обязательно нужно иметь другой пароль.

          Ну это понятно, однако зачем злоумышленнику вообще восстановление паролей на почту, если
          даже если я использую почти везде один и тот же пароль

          ? :)
          • 0
            Злоумышленник пароль будет восстанавливать не на почту, а на аккаунт в твиттере, это во-первых. Во-вторых, часто бывает так, что человеку лень запоминать кучу паролей и он использует везде один-два пароля. Если злоумышленник восстановит пароль к твиитер акканту, при условии, что он помимо логинов и хешей получил ещё и мыло, а он его получил, то получить доступ к почте можно вообще легко.
            И, наконец, в-третьих, самый банальный, применительно ко мне. Имея доступ к мылу можно угнать аккаунт от стиме. Угнав аккаунт от стима, не знаю как у большинства гиков здесь, но у меня можно купить кучу игр за мой счёт и подарить их другим аккаунтам. Или вообще на всегда потерять доступ к аккаунту в стиме.
            Да много чего можно сделать имея доступ к почте. Всё зависит от того чем вы пользуетесь.
            • 0
              что он помимо логинов и хешей получил ещё и мыло

              Ну вот я о том и говорю, что если он получил дамп с хешами и почтовыми адресами, а Вы используете везде один и тот же пароль, то зачем ему вообще что-то куда-то восстанавливать, если у него уже есть и почта, на которую Вы вероятно регистрировали всё (или адрес вида %название_сервиса%@yourdomain.com), и Ваш восстановленный из хеша пароль?
              • 0
                Является признаком хорошего тона запрашивать подтверждения критичных изменений в биллинге на почту/смс и т.п. К примеру смена кошельков для вывода из партнерок. Я на многие партнерки по несколько месяцев не захожу, а вот прочитать сообщение об изменении кошелька или о неожиданном выводе средств — это обязательно.

                Мало ли какие могут быть причины?
                Правильная безопасность всегда перестраховочна.
                Невозможно предсказать все ситуации… но можно подстелить соломку в каждом узком месте.
  • +1
    Зашел недавно в твитер.
    Из под моего аккаунта в декабре бот сделал 260 твитов.
    Либо я где-то пароль потерял, что маловероятно, либо это не единственный случай взлома.
    • +1
      Была аналогичная ситуация. Пароль сложный, твитер аккаунтом пользовался только там.
  • –1
    Я надеюсь, у них только хеши паролей были в базе?
  • +2
    ох, чувствую как всегда найдутся ребята которые воспользуются информационным фоном и начнут засылать фишинговые письма с настойчивой просьбой зайти на левый сайт и сменить пароль в «целях безопасности». ещё 250к человек из «группы риска» останутся без аккаунта.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.