วีดีโอ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (กันยายน 2024)
หากคุณเป็นหนึ่งในผู้ใช้ Twitter 250, 000 คนที่ได้รับอีเมลรีเซ็ตรหัสผ่านในวันศุกร์หวังว่าคุณจะเปลี่ยนรหัสผ่านของคุณแล้ว หากคุณใช้แอพของบุคคลที่สามเพื่อโพสต์บน Twitter อาจเป็นไปได้ว่าแอพเหล่านั้นยังคงใช้ข้อมูลรับรองเก่าของคุณอยู่ ถอนการติดตั้งและติดตั้งแอพอีกครั้งเพื่อให้ปลอดภัย
ตามที่เรารายงานเกี่ยวกับ SecurityWatch เมื่อสุดสัปดาห์ที่ผ่านมาผู้โจมตีได้ขโมยชื่อผู้ใช้ที่อยู่อีเมลโทเค็นเซสชันและรหัสผ่านที่ถูกใส่เกลือและแฮช โทเค็นเซสชันเป็นคุกกี้เข้ารหัสลับชนิดพิเศษที่แจ้งเว็บไซต์ไมโครบล็อกที่ผู้ใช้ลงชื่อเข้าใช้แล้วตราบใดที่โทเค็นเซสชันยังคงใช้ได้ (ไม่หมดอายุถูกเพิกถอนหรือถูกลบ) ผู้ใช้สามารถกลับไปที่ Twitter ได้โดยไม่ต้องเข้าสู่ระบบ ในแต่ละครั้ง
การเพิกถอนโทเค็นเซสชันเหล่านี้ดังที่ Twitter บอกไว้ทำให้มั่นใจได้ว่าผู้โจมตีที่สามารถดักโทเค็นไม่สามารถเข้าถึงบัญชีของคุณได้ เมื่อพิจารณาจากจำนวนข้อมูลที่ขโมยมัลแวร์ที่เก็บคุกกี้จากคอมพิวเตอร์ที่ติดไวรัสการรีเซ็ตโทเค็นนั้นไม่สะดวกสำหรับผู้ใช้ (ต้องล็อกอินกลับ) แต่มีประสิทธิภาพในการป้องกันผู้บุกรุก
แอปสามารถลงชื่อเข้าใช้
อย่างไรก็ตามมีรายงานว่าโทเค็นที่ใช้โดยแอพของบุคคลที่สามบางส่วนไม่ได้รับผลกระทบ การสร้างรหัสผ่านใหม่หลังจากได้รับการแจ้งเตือนการรีเซ็ตไม่ได้ป้องกันแอพมือถือหรือไคลเอนต์เดสก์ท็อปของ Twitter เช่น TweetDeck จากการส่งโพสต์ใหม่รายงานการลงทะเบียน Max Eddy ของเราเองกล่าวว่าเขาต้องเปลี่ยนรหัสผ่านเป็นบัญชี Twitter ของเขาในช่วงสุดสัปดาห์ แต่ไม่มีแอพของบุคคลที่สามที่เขาแจ้งเตือนให้เขาอัปเดตรหัสผ่านด้วยแอปใหม่
โดยทั่วไปแล้วแอปที่ใช้ Twitter API จะใช้ OAuth ซึ่งเป็นมาตรฐานเปิดสำหรับการตรวจสอบสิทธิ์ในหลาย ๆ ไซต์ โทเค็นของเซสชัน Twitter ถูกเพิกถอนดูเหมือนจะไม่ได้รับผลกระทบจากแอพที่ใช้ OAuth เพื่อจัดการการตรวจสอบสิทธิ์ มีคนคนหนึ่งบอกกับ The Register ว่าแอพไม่ได้ขอรหัสผ่านใหม่จนกว่าจะถูกลบและติดตั้งใหม่อีกครั้ง
"เมื่อเปลี่ยนรหัสผ่านในอุปกรณ์หนึ่งและคุณมีอุปกรณ์อื่นสองเครื่องที่ลงชื่อเข้าใช้ด้วยรหัสผ่านเก่า (ตัวอย่าง) ผู้ขายควรยุติเซสชันที่เปิดอยู่ทั้งหมดสำหรับบัญชีที่กำหนด" Sean Duca ของ McAfee บอก The Register
แอปที่ใช้ OAuth ได้รับรหัสเซสชันการเข้ารหัสในครั้งแรกที่รับรองความถูกต้องกับบริการเว็บและส่งคีย์เมื่อมีการเข้าชมครั้งต่อไป Cesar Cerrudo, CTO ของ IOActive Labs บอกกับ SecurityWatch สิ่งนี้ทำให้แอปของบุคคลที่สามสามารถทำงานกับบริการที่เป็นปัญหาโดยไม่ต้องส่งข้อมูลรหัสผ่านซ้ำ ๆ
Cerrudo ยังไม่ได้ดูสถานการณ์นี้โดยเฉพาะดังนั้นจึงไม่ได้คาดเดาสิ่งที่เกิดขึ้น SecurityWatch เข้าถึง Twitter เกี่ยวกับวิธีการใช้งานเซสชัน OAuth และกำลังรอการตอบกลับ
ตามนโยบาย Twitter ไม่“ หมดอายุการเข้าถึงโทเค็นในปัจจุบัน” ตามคำแนะนำของ บริษัท สำหรับนักพัฒนาเกี่ยวกับการใช้ OAuth “ โทเค็นการเข้าถึงของคุณจะไม่ถูกต้องหากผู้ใช้ปฏิเสธใบสมัครของคุณอย่างชัดเจนจากการตั้งค่าของพวกเขาหรือหากผู้ดูแลระบบ Twitter ระงับแอปพลิเคชันของคุณ” คำแนะนำดังกล่าว
นี่จะเป็นเหตุการณ์ที่เกี่ยวข้องกับ OAuth ครั้งที่สองกับ Twitter ในไม่กี่สัปดาห์ที่ผ่านมา เมื่อเร็ว ๆ นี้ Cerrudo เรียกใช้ Twitter เพื่อไม่แจ้งให้ผู้ใช้ทราบเกี่ยวกับปัญหาการอนุญาตที่ได้รับการแก้ไขอย่างเงียบ ๆ
สำหรับข้อมูลเพิ่มเติมจาก Fahmida ติดตามเธอบน Twitter @zdFYRashid
