38

Twitter ściemnia zawodowo – tym razem o włamaniu i stracie danych 250 000 użytkowników

Twitterowi znowu został skompromitowany (który to już raz?) , tym razem ktoś im wyciągnął z bazy dane 250 000 użytkowników. W ręce „włamywaczy” dostał się email, nazwa użytkownika i zaszyfrowane hasło użytkownika. Nazywają ten zestaw „imited user information”. Ja się pytam czy można było wykraść coś bardziej cennego? – przecież danych kart kredytowej nie mają. […]

6a00d8341c9e4153ef0120a4cd47ab970b-800wi Twitterowi znowu został skompromitowany (który to już raz?) , tym razem ktoś im wyciągnął z bazy dane 250 000 użytkowników. W ręce „włamywaczy” dostał się email, nazwa użytkownika i zaszyfrowane hasło użytkownika. Nazywają ten zestaw „imited user information”. Ja się pytam czy można było wykraść coś bardziej cennego? – przecież danych kart kredytowej nie mają.

Twitter na swoim blogu opisującym całą sytuację uprawia natomiast piękną ściemę. Na początek podczepia cały atak pod to co ostatnio przytrafiło się New York Times i Wall Street Journal. Dzięki temu wiemy, że sprawa jest poważna a Twitter padł ofiarą zawodowców którzy atakują amerykańskie media.

Dalej w tekście który nie wyjaśnia nic, wina za włamanie po kolei zrzucana jest (poprzez sugestie) na słabe hasła użytkowników oraz na Jave (plugin do przeglądarki). Przy czym cały czas podkreślają, że zostali zaatakowani przez profesjonalistów.

A teraz najlepsze – pod artykułem na temat tego wydarzenia na allthingsd.com odezwał się czytelnik który twierdzi, że jego hasło miało 24 znaki wygenerowane losowo i na dodatek nie ma Javy na swoim komputerze. Mimo to też dostał informacje od Twittera, że jego dane zostały wykradzione.

„Here is the funny thing –after the Linked-In hack, I changed my twitter password to a randomly generated 24 character string. I still got the hack email.
They alluded to Java vulnerabilities in their blog post. I have removed Java on any machine connected to the Internet. I still got the hack email.
I am user 4,000,000 plus. I still got the hacked email.”

No i jeszcze te 250 000? Dlaczego tak mało danych wyciągnęli? Twitter przerwał atak w samą porę (kto w to uwierzy)? A może wygodnie jest podać 250 000 a nie 1,5 miliona? W końcu dzięki podaniu jakieś liczby uspokaja się milionowe rzesze użytkowników – nikt natomiast i tak nie będzie wiedział ile kont tak naprawdę udało się opanować.

Pytanie tylko czy jeśli informacje o utraceniu danych (potencjalnym) dostali użytkownicy zakładający konta w 2007 roku i wcześniej to jakim schematem musieli lecieć włamywacze aby wykraść tylko 250k kont a nie więcej? To może jeszcze da się jakoś racjonalnie wytłumaczyć ale generalnie cały opis sytuacji przedstawiony prze Twitter brzmi jak jedna wielka ściema.

Jaki jest wniosek? Zmieńcie na wszelki wypadek hasło na Twitterze i sprawdźcie do jakich waszych aplikacji i serwisów ma dostęp Twitter. Niefrasobliwość prowadzących ten serwis w połączeniu z komunikacyjną ściemą tworzy bowiem bardzo niebezpieczną dla użytkowników mieszankę.