Твиттер взломан. 250k аккаунтов под угрозой

    В пятницу вечером (1 февраля) компания Twitter заявила, что на прошлой неделе ее системы были атакованы неизвестной группой хакеров. В результате атаки, злоумышленники, возможно, имели доступ к именам пользователей, адресам электронной почты и другой конфиденциальной информации почти четверти миллиона пользователей Twitter.

    «На этой неделе мы обнаружили необычные схемы доступа, которые позволили нам обнаружить попытки несанкционированного доступа к данным пользователей Twitter. Мы обнаружили атаку и смогли закрыть её в процессе мгновение спустя», сообщает компания в своем блоге. «Тем не менее, исследование атаки указывает на то что, нападавшие, возможно, имели доступ к ограниченной информации пользователей — именам, адресам электронной почты, сессиям и зашифрованным паролям около 250 тысяч пользователей».

    В пятницу вечером, Twitter разослал электронные письма тем пользователям, чьи аккаунты могли быть взломаны, уведомив их, что компания автоматически сбросит пароли, и необходимо запросить новые для доступа к сервису.
    Метки:
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 42
    • –4
      Пошел проверять почту.
      • 0
        Я всё равно на всякий случай сменил.
        • Надо значит пароль иметь такой, чтобы хеш не подобрали, тогда менять не придётся :)
          • 0
            Не факт, иногда бывает достаточно хеша.
            • Конечно зависит от типа хеша, но с коллизиями маловероятный момент.
            • 0
              Да ещё и с солью.
              • +1
                Значит надо почту с двухфакторной аутентификацией.
                • 0
                  Во-первых, неизвестно, какой тип хранения использует сервис, может открытым текстом (вспомните недавний скандал).
                  Во-вторых, пароли у меня достаточно сложные, но так приятно от мысли, если всё-таки база была утянута, а взломщик долго и муторно брутил хеш… наконец ценой нечеловеческих усилий нашел пароль (или коллизию), попытался залогиниться… и обломался, ибо всё давно было поменяно.
                  • +1
                    «нечеловеческие усилия» — это типа поиска по радужной таблице?
                    • +4
                      Ну да, нечеловеческие, т.е. вычислительно-компьютерные.
              • 0
                я тоже и увидел письмо счастья: li.tl/v/PAu
              • 0
                Интересно то, что буквально вчера вечером приходил запрос на сброс пароля от Твиттера.
                (не сообщение что зросили, а именно как-будто кто-то нажал кнопку восстановить пароль)

                На всякий случай сразу скачал бэкап твитов + включил запрос личной информации на восстановлении пароля.
                • –66
                  Надеюсь, основная часть этих аккаунтов — боты нашистов.
                  • +69
                    Пожалуйста, идите в ж… с вашей политикой из неполитических топиков.
                    • –52
                      То есть вас устраивает ситуация в твиттере, когда эти боты ежедневно поднимают идиотские теги в топ? Тогда желаю вам пойти туда же.
                      • +66
                        Меня вообще не волнует какие теги выводят в топ.
                        • +14
                          Я за ~год использование твиттера, так и не понял зачем эти теги и где их смотреть:)
                          P.s не в том смысле что я не понимаю зачем они, я не понимаю как они мне могут быть интересны.
                    • +2
                      Любезно нажимайте «report» на каждом боте, если это вас так волнует. Или напишите своих ботов, которые будут выводить правильные теги в топ :)
                      • +4
                        Здесь проблема известная: ботов достаточно много (тысячи, постоянно регистрируются всё новые спам-аккаунты) и неповоротливость техподдержки в подобных вопросах (особенно если ты не представляешь какую-то крупную компанию).
                        • +1
                          Я нажимаю, когда не лень, не помогает :) Мне интересно видеть актуальные теги, а не зафорсенные #НавальныйПлохой, #АмериканцыЕдятДетей и т.п. бред, поднимаемый еще и на бюджетные деньги, то есть наши налоги.
                          • 0
                            У вас тут провал с логикой — если весь этот «ужас» (в кавычках потому что мне пофиг на топ тегов) на бюджетные деньги, то вы пожелали только что второй заход для их траты — для перерегистрации акков. :)))) Выходит вы за попил бабла. :)
                      • 0
                        А есть инфа по поводу сбоя вечером 31 января?
                        • –6
                          Это не благодаря Flight — новый js-фреймворк от Twitter? Может совпадение.
                          • +12
                            Минусует «неизвестная группа хакеров».
                          • +1
                            Открывая на почте ежедневку с названием «Do you know what happened on Twitter today?» ожидал, что всё письмо будет посвящено взлому! :D А там опять только лучшие твиты из фида…
                            • +1
                              > «На этой неделе мы обнаружили необычные схемы доступа, которые позволили нам обнаружить попытки несанкционированного доступа к данным пользователей Twitter. Мы обнаружили атаку и смогли закрыть её в процессе мгновение спустя»

                              Если обнаруживать, обнаруживая, то обнаружить.
                              • +3
                                250k это песчинка
                                • +1
                                  Я думаю они могли назвать заниженное число (что-б не пугать людей) т.к. это тяжело проверить. Может было 10 Млн?
                                • 0
                                  компания автоматически сбросит пароли, и необходимо запросить новые для доступа к сервису

                                  Ну и какого чёрта?

                                  Если у меня надёжный пароль, и мне глубоко пофиг на получение хэшей злоумышленниками (там не MD5, ведь правда?), то с какого перепуга Твиттер заставляет меня выдумывать новый пароль? Голову на отсечение даю, 99% юзеров припишет к старому паролю единичку или вообще вернёт старый пароль, если разрешат. В результате этот сброс не нужен ни гикам (у которых правильные пароли), ни домохозяйкам (которые новый пароль сгенерируют на основе старого).
                                  • 0
                                    ну не факт что будут подбирать пароли «с единичками». У меня например другой алгоритм генерации новых паролей (когда сервисы задалбывают поменяй, да поменяй).
                                    Да и юзеры тоже могут разнообразить, к примеру двоечку добавить.
                                    Что касается взлома хэша, так могут и кого=то персонально брутить по хэшу. Откуда твиттеру знать кого будут брутить а кого нет?
                                    Сброс пароля это уже на уровне инстинктов…
                                  • 0
                                    Многие ведь используют один пароль везде. Считай, получил доступ к хэшам паролей, значит эти хэши можно подобрать, если они, конечно же, без соли и угнать почту. Вот у меня самая офигенная, на мой взгляд, схема работы с почтой, которая гарантирует, что мой почтовый ящик не угонят) Я везде указываю адрес почтового ящика на своём домене, который только для почты и нужен, который редиректит мне всю почту уже на нормальный ящик. Ну получит он адрес той почты, ну подберёт даже пароль к аккаунту в твиттере, но на этом всё, даже если я использую почти везде один и тот же пароль)
                                    Кстати, кто знает точно, в твиттере хэши с солью или без?
                                    • 0
                                      а как насчет разных методов хеширования?
                                      • 0
                                        Я везде указываю адрес почтового ящика на своём домене, который только для почты и нужен, который редиректит мне всю почту уже на нормальный ящик. Ну получит он адрес той почты, ну подберёт даже пароль к аккаунту в твиттере, но на этом всё, даже если я использую почти везде один и тот же пароль)
                                        Кстати, кто знает точно, в твиттере хэши с солью или без?


                                        Что-то я недопонял, не могли бы пояснить? Если Вы указываете везде «промежуточный» ящик, и его же используете для входа — то почему у злоумышленника не получится имея ваш пароль (тем или иным способом «восстановленный» из хеша) и адрес почты, на который Вы всегда все регистрируете, заиметь другие ваши аккаунты?
                                        • 0
                                          Доступ к известной почте злоумышленник не получит, поскольку там в принципе может и не быть пароля как такового, а все настройки идут из панели хостинга (у меня у самого есть пару таких переадресаций, хоть для других целей), ну а пароль на хостинг люди обычно делают надежнее чем на разных сайтах.
                                          Ну а к той почте которой он пользуется и где пароль может быть и совпадает (что глупо, ведь почта это последний оплот безопасности, у меня лично на главной почте самый крепкий пароль), то тут просто неизвестен логин.

                                          Идея конечно забавная но слабая. Конечный адрес можно узнать хуманинжинирингом, просто напросившись на ответ. А на почте куда приходят пароли обязательно нужно иметь другой пароль.

                                          ПЫСЫ: лично у меня на неважных сайтах идет одинаковый пароль + соль зависимая от собственно сайта. Т.о. в принципе на каждом сайте разные пароли, но даже попав на сайт на котором я и не помню как регистрировался я пароль вспомню.
                                          • 0
                                            А на почте куда приходят пароли обязательно нужно иметь другой пароль.

                                            Ну это понятно, однако зачем злоумышленнику вообще восстановление паролей на почту, если
                                            даже если я использую почти везде один и тот же пароль

                                            ? :)
                                            • 0
                                              Злоумышленник пароль будет восстанавливать не на почту, а на аккаунт в твиттере, это во-первых. Во-вторых, часто бывает так, что человеку лень запоминать кучу паролей и он использует везде один-два пароля. Если злоумышленник восстановит пароль к твиитер акканту, при условии, что он помимо логинов и хешей получил ещё и мыло, а он его получил, то получить доступ к почте можно вообще легко.
                                              И, наконец, в-третьих, самый банальный, применительно ко мне. Имея доступ к мылу можно угнать аккаунт от стиме. Угнав аккаунт от стима, не знаю как у большинства гиков здесь, но у меня можно купить кучу игр за мой счёт и подарить их другим аккаунтам. Или вообще на всегда потерять доступ к аккаунту в стиме.
                                              Да много чего можно сделать имея доступ к почте. Всё зависит от того чем вы пользуетесь.
                                              • 0
                                                что он помимо логинов и хешей получил ещё и мыло

                                                Ну вот я о том и говорю, что если он получил дамп с хешами и почтовыми адресами, а Вы используете везде один и тот же пароль, то зачем ему вообще что-то куда-то восстанавливать, если у него уже есть и почта, на которую Вы вероятно регистрировали всё (или адрес вида %название_сервиса%@yourdomain.com), и Ваш восстановленный из хеша пароль?
                                                • 0
                                                  Является признаком хорошего тона запрашивать подтверждения критичных изменений в биллинге на почту/смс и т.п. К примеру смена кошельков для вывода из партнерок. Я на многие партнерки по несколько месяцев не захожу, а вот прочитать сообщение об изменении кошелька или о неожиданном выводе средств — это обязательно.

                                                  Мало ли какие могут быть причины?
                                                  Правильная безопасность всегда перестраховочна.
                                                  Невозможно предсказать все ситуации… но можно подстелить соломку в каждом узком месте.
                                      • +1
                                        Зашел недавно в твитер.
                                        Из под моего аккаунта в декабре бот сделал 260 твитов.
                                        Либо я где-то пароль потерял, что маловероятно, либо это не единственный случай взлома.
                                        • +1
                                          Была аналогичная ситуация. Пароль сложный, твитер аккаунтом пользовался только там.
                                        • –1
                                          Я надеюсь, у них только хеши паролей были в базе?
                                          • +2
                                            ох, чувствую как всегда найдутся ребята которые воспользуются информационным фоном и начнут засылать фишинговые письма с настойчивой просьбой зайти на левый сайт и сменить пароль в «целях безопасности». ещё 250к человек из «группы риска» останутся без аккаунта.

                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.