비디오: IF DONALD TRUMP HAD SNAPCHAT (십월 2024)
금요일에 비밀번호 재설정 이메일을받은 250, 000 명의 트위터 사용자 중 하나라면 이미 비밀번호를 변경 한 것입니다. 타사 앱을 사용하여 Twitter에 게시하는 경우 해당 앱이 여전히 이전 자격 증명을 사용하고있을 수 있습니다. 안전한 곳에 앱을 설치 제거했다가 다시 설치하십시오.
주말에 SecurityWatch에서보고 한 것처럼 공격자는 사용자 이름, 전자 메일 주소, 세션 토큰 및 소금에 절인 암호를 훔쳤습니다. 세션 토큰은 마이크로 블로깅 사이트에 사용자가 이미 로그인했음을 알리는 특수한 유형의 암호화 쿠키입니다. 세션 토큰이 여전히 유효하거나 (만료, 취소 또는 삭제되지 않은 경우) 사용자는 다시 로그인하지 않고 Twitter로 돌아갈 수 있습니다 매번.
트위터가 말했듯이이 세션 토큰을 해지하면 토큰을 가로채는 공격자가 계정에 액세스 할 수 없습니다. 감염된 컴퓨터에서 쿠키를 수집하는 데이터 스털링 맬웨어의 양을 고려하면 토큰을 재설정하는 것은 사용자에게는 불편하지만 (로그인해야 함) 공격자를 차단하는 데 효과적입니다.
앱은 로그인 할 수 있습니다
그러나 타사 앱에서 사용하는 일부 토큰이 영향을받지 않았다는보고가 있습니다. 재설정 알림을받은 후 새 비밀번호를 작성해도 Twitter 자체 모바일 앱 또는 TweetDeck과 같은 데스크탑 클라이언트가 새 게시물을 제출하는 것을 막을 수 없다고 The Register는보고했습니다. 우리 자신의 Max Eddy는 주말에 트위터 계정으로 비밀번호를 변경해야한다고 말했지만, 그가 사용한 타사 앱 중 어느 것도 새로운 비밀번호로 비밀번호를 업데이트하라는 메시지를 표시하지 않았습니다.
Twitter API를 사용하는 앱은 일반적으로 여러 사이트에서 인증을위한 공개 표준 인 OAuth를 사용합니다. 트위터가 취소 한 세션 토큰은 OAuth를 사용하여 인증을 처리 한 앱에 영향을 미치지 않은 것으로 보입니다. 한 사람이 등록부에이 비밀번호를 삭제했다가 다시 설치할 때까지 새 비밀번호를 묻지 않았다고 말했습니다.
McAfee의 Sean Duca는 "하나의 장치에서 암호가 변경되고 이전 암호로 로그인 한 두 개의 다른 장치가있는 경우 (예: 공급 업체는 해당 계정에 대해 열려있는 모든 세션을 종료해야합니다)"라고 등록했습니다.
OAuth를 사용하는 앱은 웹 서비스를 처음 인증 할 때 암호화 세션 키를 수신하고 후속 방문시 키를 전송한다고 IOActive Labs의 CTO 인 Cesar Cerrudo는 SecurityWatch에 말했습니다. 이를 통해 타사 앱은 암호 정보를 반복적으로 보내지 않고도 해당 서비스를 사용할 수 있습니다.
Cerrudo는이 특정 상황을 아직 보지 않았으므로 무슨 일이 있었는지 추측하지 않았습니다. SecurityWatch는 OAuth 세션을 처리하는 방법에 대해 Twitter에 문의했으며 응답을 기다리고 있습니다.
OAuth 사용에 대한 회사의 지침에 따르면 트위터는 정책에 따라 "현재 액세스 토큰을 만료하지 않습니다". “사용자가 설정에서 애플리케이션을 명시 적으로 거부하거나 Twitter 관리자가 애플리케이션을 일시 중단하면 액세스 토큰이 유효하지 않습니다.
지난 몇 주 동안 트위터와 관련된 두 번째 OAuth 관련 사건 일 것입니다. Cerrudo는 최근 조용히 수정 된 권한 문제에 대해 사용자에게 알리지 않기 위해 Twitter를 요청했습니다.
Fahmida에 대한 자세한 내용은 Twitter @zdFYRashid에서 팔로우하십시오.
