트위터 공격으로 250,000 명의 사용자 데이터를 훔쳤다

마이크로 블로깅 사이트는 공격자들이 트위터에서 250, 000 개의 계정에 액세스 할 수 있다고 말했다. 이제 다시 비밀번호를 변경할 때입니다.

이 사이트의 보안 팀은 이번 주에 권한이없는 개인이 사용자 데이터에 액세스하기위한 다중 액세스 시도를 식별했으며 정보 보안 책임자 인 Bob Lord가 금요일 오후 트위터 블로그에 썼습니다. 이 회사는 또한 "한 번의 공격"을 밝혀 내고 아직 진행 중이던 동안 중단했다.

추가 조사에 따르면 공격자는 약 250, 000 명의 사용자에 속하는 사용자 이름, 전자 메일 주소, 세션 토큰 및 암호화 된 / 비밀번호를 포함한 사용자 데이터의 하위 집합에 액세스 할 수 있음이 밝혀졌습니다. 주님은 보안 위반에 대한 추가 정보를 제공하지 않았으며 노출 된 계정이 불법적으로 액세스되었는지 여부도 밝히지 않았습니다.

"예방 적 보안 조치로서, 우리는 암호를 재설정하고이 계정에 대한 세션 토큰을 취소했습니다"라고 Lord는 말했습니다.

Sophos의 Paul Ducklin은 NakedSecurity 블로그에서 공격자가 도난당한 세션 토큰으로 수행 할 수있는 작업을 설명합니다.

비밀번호 재설정!

노출 된 비밀번호를 재설정 한 후 Twitter는 영향을받는 사용자에게 이메일을 통해 새 비밀번호를 작성하도록 알 렸습니다. 이메일 권장 사용자는 자신을 보호하기 위해 최소 10 자 이상이고 다른 사이트 나 계정에서 재사용하지 않는 강력한 암호를 선택합니다. 물론 10 자보다 긴 비밀번호도 좋습니다.

사용자가 암호가 약한 경우 Twitter가 암호를 소금에 절이고 암호화했다는 사실은 공격자가 다양한 암호 해독 도구를 사용하여 원래 암호 문자열이 무엇인지 파악할 수 있으므로 도움이되지 않습니다. 사용자가 온라인에서 다른 사이트에 대해 동일한 비밀번호를 사용한 경우 바로 이것이 바로 사용자의 신원 왕국의 열쇠입니다.

트위터의 알림 이메일은 암호화되어 있습니다. 공격에 대해서는 언급하지 않았으며 실제 블로그 게시물에 연결되지도 않습니다. 비밀번호가 손상되었을 수 있음을 사용자에게 알리고 비밀번호를 재설정하기 위해 클릭 할 수있는 링크를 사용자에게 제공합니다. 이메일에 사이트의 다른 부분에 대한 다른 링크가 있습니다.

트위터 사용자 사이먼 핍스 (Simon Phipps)는이 편지에 "피싱 이메일의 모든 특징이 담겨있다"고 썼다. "사용자는 이것을 받아들이도록 훈련되어서는 안된다"고 덧붙였다.

우리는 SecurityWatch 에서 이전에 그것을 말했으며 다시 말할 것입니다. 이메일의 링크를 클릭하지 마십시오. 누구나 이와 같은 메모를 조롱하여 임의의 사용자에게 보낼 수 있습니다. Phipps가 다른 트윗에서 언급했듯이 "곧바로 말하기가 어렵습니다." 스팸 캠페인이 이미 진행 중일 수 있다는 트위터의보고가있었습니다.

Twitter 비밀번호 재설정을 요청하는 이메일을 받으면 잠시 시간을내어 Twitter 사이트로 이동하여 "비밀번호 분실"링크를 클릭하십시오. 이메일에서 링크를 클릭해야하는 경우 최소한 요청한 이메일에서 링크를 클릭하십시오.

Whodunnit? 누가 알아?

주님께서는 누가 공격의 배후에 있었는지에 대해 추측하지 않으 셨습니다.

"이 공격은 아마추어의 일이 아니었고, 우리는 이것이 고립 된 사건이라고 생각하지 않습니다. 공격자는 매우 정교했으며 다른 회사와 조직도 최근에 비슷한 공격을 받았다고 생각합니다."라고 Lord는 말했습니다.

그러나 Lord 's 포스트는 이번 주 중국의 뉴욕 타임즈에 대한 공격과 최근 국토 안보부의 권고에 따르면 사용자가 브라우저에서 Java를 비활성화 할 것을 권장합니다. Twitter는 인프라에서 Java를 사용하는 것으로보고되었지만 사이트 자체에는 Java 애플릿이없는 것으로 보이므로 브라우저에서 Java를 비활성화하는 것이 좋습니다.

트위터에 따르면, 연방 법 집행 기관과 공무원들이이 사건을 조사하고있다.