Το Twitter hack ζητά νέα ματιά στις ανάγκες ασφάλειας στον κυβερνοχώρο

Η πειρατεία στο Twitter γίνεται γρήγορα μια ιεραρχία για μεγάλες επιχειρήσεις, Ο Τύπος θα μπορούσε να είναι ένα σημείο ανατροπής και δείχνει ότι τα κοινωνικά δίκτυα πρέπει να κάνουν περισσότερα για να κρατήσουν τους χρήστες τους ασφαλή, δήλωσαν οι ειδικοί ασφαλείας

Ευρύτερη χρήση ταυτότητας δύο παραγόντων, η οποία μπορεί να περιλαμβάνει έναν κωδικό πρόσβασης που αποστέλλεται σε ένα χρήστη σε μια δεύτερη συσκευή όπως ένα smartphone, είναι μια πιθανή λύση. Ένας τέτοιος μηχανισμός θα μπορούσε να εισαχθεί επιλεκτικά, σύμφωνα με ορισμένους εμπειρογνώμονες, για λογαριασμούς υψηλού προφίλ, όπως διασημότητες και μεγάλες εταιρείες

"Το Twitter πρέπει να πάρει στο σκάφος και να κάνει τον έλεγχο ταυτότητας δύο παραγόντων διαθέσιμο … όσο το δυνατόν γρηγορότερα", δήλωσε ο Andrew Storms, ο διευθυντής των επιχειρήσεων ασφάλειας στο nCircle Security.

Ο λογαριασμός Twitter του AP χτυπήθηκε το πρωί της Τρίτης, με αποτέλεσμα ένα ψεύτικο μήνυμα που αναφέρει ότι υπήρξαν "δύο εκρήξεις ο Λευκός Οίκος και ο Μπαράκ Ομπάμα τραυματίστηκαν. " Μια ομάδα ονομάζοντας τον εαυτό του ο Συριακός Ηλεκτρονικός Στρατός ανέλαβε την ευθύνη, μέσω του δικού του λογαριασμού στο Twitter.

Το τιτίβισμα ήταν ορατό μόνο για λίγα λεπτά, αλλά ο βιομηχανικός μέσος Dow Jones πήρε μια κατάδυση μύτης αμέσως μετά τη δημοσίευσή του πριν ανακάμψει αρκετά λεπτά αργότερα. Σε αντίθεση με κάποια προηγούμενα συμβάντα hacking, «αυτό είχε πραγματικό αντίκτυπο στις αγορές», σημείωσε ο Steve Brunetto, διευθυντής διαχείρισης προϊόντων EdgeWave, εταιρίας κοινωνικής δικτύωσης και ηλεκτρονικού ταχυδρομείου.

Το AP εντάσσεται στον κατάλογο εταιρειών που έχουν πρόσφατα πειραχτεί στο Twitter. Τρεις μάρκες CBS - 60 Λεπτά, 48 Ώρες και μια θυγατρική ειδήσεων του Ντένβερ - κατακλύστηκαν αυτό το περασμένο Σαββατοκύριακο. Οι New York Times, η Wall Street Journal και η Washington Post έχουν επίσης χάσει τους τελευταίους μήνες. Το Φεβρουάριο, το Twitter ανακοίνωσε ότι ο ίδιος ο ιστότοπος είχε παραβιαστεί.

Οι λογαριασμοί Twitter του Burger King και της εταιρείας αυτοκινήτων Jeep έχουν επίσης συμβιβαστεί. Μετά από αυτά τα περιστατικά, το Twitter κάλεσε τους χρήστες να είναι πιο έξυπνοι με τους κωδικούς τους και με τον τρόπο που χρησιμοποιούν τον ιστότοπο.

Το Twitter παρέμεινε σε μεγάλο βαθμό ήσυχο μετά την επίθεση AP της Τρίτης. "Δεν σχολιάζουμε τους μεμονωμένους λογαριασμούς για λόγους προστασίας της ιδιωτικής ζωής και ασφάλειας", δήλωσε εκπρόσωπος. Αλλά τώρα μπορεί να είναι η κατάλληλη στιγμή για το κοινωνικό δίκτυο να χρησιμοποιεί ισχυρότερες διασφαλίσεις για την αποτροπή μελλοντικών παραβιάσεων λογαριασμών, λένε ορισμένοι εμπειρογνώμονες.

"Το Twitter πρέπει να κινηθεί γρηγορότερα με την ενίσχυση των προσπαθειών του στον κυβερνοχώρο", δήλωσε ο Brunetto της EdgeWave. Ο Risher, διευθύνων σύμβουλος της Impermium, μιας εταιρείας ασφάλειας στο Διαδίκτυο που εδρεύει στο Redwood City της Καλιφόρνια, δήλωσε ότι πιστεύει ότι το Twitter έχει ήδη σοβαρά την ασφάλεια, αλλά η επίθεση της Τρίτης «αυξάνει» τις ανησυχίες. σύστημα επαλήθευσης δύο σταδίων. Σε μια κοινή εφαρμογή, όταν οι χρήστες συνδεθούν στην τοποθεσία από το φορητό υπολογιστή τους, το Twitter θα τους στείλει έναν κωδικό πρόσβασης σε μια δεύτερη συσκευή, όπως το κινητό τους τηλέφωνο. Στη συνέχεια, θα χρειαστεί να εισαγάγουν αυτόν τον κωδικό καθώς και τον κωδικό πρόσβασής τους και τον κωδικό πρόσβασής τους για να αποκτήσουν πρόσβαση στον ιστότοπο.

Ζητάει το Twitter να υιοθετήσει ένα τέτοιο σύστημα επανεμφανίζεται κάθε φορά που ο ιστότοπος έχει πειραχτεί, αλλά η επίθεση του AP μπορεί να γίνει σημείο ανατροπής.

Εάν το Twitter δεν θέλει να επιβάλει έλεγχο ταυτότητας δύο παραγόντων για όλους τους λογαριασμούς, η εταιρεία θα μπορούσε να το απαιτήσει μόνο για λογαριασμούς που περάσουν ορισμένο αριθμό οπαδών, πρότεινε

. σε μεγάλες μάρκες και άλλους σημαντικούς λογαριασμούς, συμφώνησε ο Jon Oberheide, συνιδρυτής και επικεφαλής της τεχνολογίας Duo Security, ο οποίος αναπτύσσει λογισμικό ελέγχου ταυτότητας.

Ωστόσο, οι λογαριασμοί που χρησιμοποιούν αυθεντικοποίηση σε δύο βήματα ενδέχεται να είναι ευαίσθητοι εάν οι χρήστες που χρησιμοποιούν τους λογαριασμούς υποβάλλονται μια επίθεση ηλεκτρονικού "ψαρέματος" ηλεκτρονικού ταχυδρομείου, δήλωσε ο Riser του Impermium. "Ο χάκερ θα μπορούσε να πλαστογραφήσει μια σελίδα σύνδεσης που θα σας ρωτούσε για τον κωδικό που μόλις λάβατε", είπε.

Εναλλακτικά, μια επίθεση phishing θα μπορούσε να χρησιμοποιηθεί για την εγκατάσταση ενός καταγραφικού πληκτρολόγησης στον υπολογιστή ενός χρήστη, καταγράφοντας τον κωδικό πρόσβασής τους και τον κωδικό πρόσβασης την επόμενη φορά που θα την εισάγουν.

Ως εναλλακτική λύση, το Twitter και άλλα κοινωνικά δίκτυα πρέπει να εξετάσουν προσεκτικότερα τον τρόπο αλληλεπίδρασης των χρηστών με τις υπηρεσίες τους και να παρακολουθήσουν σήματα που ενδεχομένως να δείχνουν μη εξουσιοδοτημένη δραστηριότητα, δήλωσε ο Risher, η εταιρεία του οποίου αναπτύσσει αλγόριθμους για τον εντοπισμό τέτοιων δραστηριοτήτων. Θα μπορούσαμε να εξετάσουμε τον τρόπο με τον οποίο οι χρήστες ασχολούνται με το περιεχόμενο και πόσο συχνά τιτίβονται και επαναλαμβάνονται, για παράδειγμα.

Το Twitter θα μπορούσε επίσης να χρησιμοποιήσει μια μέθοδο ελέγχου ταυτότητας με βάση τον κίνδυνο, ζητώντας από τους χρήστες ερωτήσεις προσωπικής ταυτοποίησης όταν συνδεθούν από έναν άγνωστο υπολογιστή, για παράδειγμα.

Ωστόσο, οι χρήστες θα μπορούσαν να κάνουν περισσότερα για να προστατεύσουν τους λογαριασμούς των κοινωνικών μέσων. Η χρήση ισχυρότερων κωδικών πρόσβασης, η συχνή αλλαγή τους και η προστασία των δικτύων Wi-Fi με κωδικούς πρόσβασης αποτελούν όλες τις συνιστώμενες πρακτικές. Έχοντας έναν αδύναμο κωδικό πρόσβασης ίσως έπαιξε κάποιο ρόλο στην παραβίαση λογαριασμού του AP. Ο Σύρος Ηλεκτρονικός Στρατός tweeted το φερόμενο κωδικό πρόσβασης "APm @ rketing" αργότερα σήμερα το απόγευμα.

Αλλά το βάρος θα έπρεπε να είναι στους ιστότοπους κοινωνικών μέσων ενημέρωσης για να διασφαλιστεί η ασφάλεια των λογαριασμών των χρηστών τους, δήλωσε ο Risher. "Θα πρέπει να είναι σαν ένα split 80/20", δήλωσε, προσθέτοντας ότι "το μερίδιο του λέοντος της δουλειάς θα πρέπει να γίνει από τους χώρους."

Η Apple, το Facebook και το Google είναι από τις εταιρείες που προσφέρουν ήδη δύο βήματα η αυθεντικοποίηση ως επιλογή για τους χρήστες.

Το Twitter είναι ένας μεγάλος στόχος για παραβιάσεις λόγω της αμεσότητας του, δήλωσε ο Obenhaim. Ένας από τους πρωταρχικούς σκοπούς του Twitter είναι να διαδίδει πληροφορίες σε σχεδόν πραγματικό χρόνο, για παράδειγμα, ενώ οι σελίδες εταιρειών στο Facebook είναι συχνά λιγότερο ενεργές.

Άλλες ιδέες που έχουν επιβληθεί για να κρατήσουν λογαριασμούς και εντοπίζουν ασφαλή σύνδεση περιλαμβάνουν τη χρήση " κωδικούς πρόσβασης, οι οποίοι θα μπορούσαν να λάβουν τη μορφή κοσμημάτων. Σε μια έρευνα που δημοσιεύθηκε τον Ιανουάριο, η Google δήλωσε ότι οι σημερινές στρατηγικές, συμπεριλαμβανομένου του συστήματος επαλήθευσης σε δύο βήματα, είναι ανεπαρκείς.

Τα μερίδια είναι υψηλά όταν πρόκειται για ασφάλεια στον κυβερνοχώρο, όπως έδειξε η ταμειακή αγορά. «Η κακοποίηση των μαρκών ή των χαρακτήρων δεν είναι πλέον το μοναδικό αποτέλεσμα», δήλωσε η καταιγίδα του nCircle.

Η απόσπαση φανταστικών tweets σχετικά με την εξωφρενική συμπεριφορά των εργαζομένων στο Burger King είναι ένα πράγμα, αλλά το tweeting ότι ο πρόεδρος τραυματίστηκε μετά από μια έκρηξη στο Λευκό Οίκο "Αυτά τα hacks είναι επίσης πιο σημαντικά από τότε που η Αμερικανική Επιτροπή Κεφαλαιαγοράς είπε ότι θα επιτρέψει στις δημόσιες εταιρείες να αποκαλύψουν σημαντικές εταιρικές πληροφορίες σε ιστότοπους κοινωνικών μέσων."

Το SEC αρνήθηκε να σχολιάσει την Τρίτη σχετικά με τα AP και άλλα πρόσφατα hacks του Twitter.

Η Zach Miners καλύπτει την κοινωνική δικτύωση, την αναζήτηση και γενικές τεχνολογικές ειδήσεις για την IDG News Service. Ακολουθήστε το Zach στο Twitter στο @zachminers. Η διεύθυνση ηλεκτρονικού ταχυδρομείου του Zach είναι [email protected]