Acasă Securitywatch Aplicațiile Twitter pot totuși să tweet în ciuda resetării parolei

Aplicațiile Twitter pot totuși să tweet în ciuda resetării parolei

Video: Uiti frecvent parolele? 3 SOFTURI de stocare a PAROLELOR si avantajele lor (Noiembrie 2024)

Video: Uiti frecvent parolele? 3 SOFTURI de stocare a PAROLELOR si avantajele lor (Noiembrie 2024)
Anonim

Twitter s-a mutat rapid pentru a bloca conturile utilizatorilor și a revoca token-urile de sesiune după încălcarea săptămânii trecute, dar se pare că unele jetoane au fost lăsate active, permițând aplicațiilor terților să continue accesul pe Twitter folosind credențe vechi.

Dacă sunteți unul dintre cei 250.000 de utilizatori Twitter care au primit vineri resetarea e-mailului, sperăm că v-ați schimbat deja parola. Dacă utilizați aplicații terțe pentru a posta pe Twitter, este posibil ca acele aplicații să utilizeze în continuare datele dvs. de acreditare vechi. Dezinstalați și reinstalați aplicațiile pentru a fi în siguranță.

Așa cum am raportat la SecurityWatch în weekend, atacatorii au furat nume de utilizator, adrese de e-mail, jetoane de sesiune și parole sărate și sărate. Token-urile de sesiune sunt un tip special de cookie-uri criptografice care informează site-ul de micro-blogging că utilizatorul este deja conectat. Atâta timp cât jetonul de sesiune este încă valabil (nu a expirat, revocat sau șters), utilizatorii pot reveni pe Twitter fără să se autentifice. în fiecare timp.

Revocarea acestor jetoane de sesiune, așa cum a spus Twitter, asigură că atacatorii care au reușit să intercepteze jetoanele nu vă pot accesa contul. Având în vedere cantitatea de malware care fura date acolo, care recoltează cookie-uri de pe calculatoarele infectate, resetarea jetonului este incomodă pentru utilizatori (pentru a fi nevoiți să se autentifice), dar eficientă pentru a-i scoate pe atacatori.

Aplicațiile se pot autentifica

Cu toate acestea, există rapoarte că unele dintre token-urile utilizate de aplicațiile terțe nu au fost afectate. Crearea unei parole noi după primirea notificării de resetare nu a împiedicat propriile aplicații mobile Twitter sau clienți desktop, cum ar fi TweetDeck, să trimită noi postări, a raportat Registrul. Proprietarul nostru Max Eddy a spus că trebuie să schimbe parolele în conturile sale de Twitter în weekend, dar niciuna dintre aplicațiile terțe pe care le-a folosit nu l-a determinat să actualizeze parola cu cea mai nouă.

Aplicațiile care utilizează API-ul Twitter se bazează de obicei pe OAuth, un standard deschis pentru autentificare pe mai multe site-uri. Token-urile de sesiune pe care Twitter le-a revocat nu pare să fi afectat aplicațiile care au folosit OAuth pentru a gestiona autentificarea. O persoană a declarat pentru Înregistrare că aplicațiile nu au cerut noua parolă decât după ce au fost șterse și reinstalate din nou.

"Când o parolă este schimbată pe un dispozitiv și aveți alte două dispozitive conectate cu parola veche (de exemplu), vânzătorul ar trebui să încheie toate sesiunile deschise pentru contul dat", a declarat Sean Duca de la McAfee, pentru The Register.

Aplicațiile care folosesc OAuth primesc o cheie de sesiune criptografică pentru prima dată când se autentifică cu serviciul Web și trimit cheile pentru vizitele ulterioare, a declarat Cesar Cerrudo, CTO al IOActive Labs, pentru SecurityWatch. Acest lucru permite aplicațiilor terților să lucreze cu serviciul în cauză, fără a trimite în mod repetat informații despre parolă.

Cerrudo nu s-a uitat încă la această situație anume, așa că nu a oferit nicio idee despre ceea ce se întâmplă. SecurityWatch a contactat Twitter despre cum tratează sesiunile OAuth și așteaptă să se audă înapoi.

Prin politică, Twitter nu „expiră momentan token-urile de acces”, în conformitate cu îndrumările companiei către dezvoltatori cu privire la utilizarea OAuth. „Jetonul dvs. de acces nu va fi valabil dacă un utilizator respinge în mod explicit aplicația dvs. din setările sale sau dacă un administrator Twitter vă suspendă aplicația”, se arată în ghid.

Acesta ar fi al doilea incident legat de OAuth cu Twitter în ultimele săptămâni. Cerrudo a sunat recent pe Twitter pentru a anunța utilizatorii despre o problemă de permisiuni pe care a fost rezolvată în liniște.

Pentru mai multe din Fahmida, urmați-o pe Twitter @zdFYRashid.

Aplicațiile Twitter pot totuși să tweet în ciuda resetării parolei