Будинки Securitywatch Програми Twitter ще можуть твітувати, незважаючи на скидання пароля

Програми Twitter ще можуть твітувати, незважаючи на скидання пароля

Відео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Листопад 2024)

Відео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Листопад 2024)
Anonim

Twitter швидко перемістився, щоб заблокувати облікові записи користувачів та відкликати маркери сеансу після порушення минулого тижня, але, схоже, деякі жетони залишилися активними, що дозволило стороннім програмам продовжувати доступ до Twitter за допомогою старих облікових даних.

Якщо ви один з 250 000 користувачів Twitter, які отримали електронну пошту про скидання пароля у п’ятницю, сподіваємось, ви вже змінили свій пароль. Якщо ви використовуєте сторонні програми для публікацій у Twitter, можливо, ці додатки все ще використовують ваші старі облікові дані. Видаліть та перевстановіть додатки, щоб захистити їх.

Як ми повідомляли про SecurityWatch у вихідні, зловмисники вкрали імена користувачів, адреси електронної пошти, жетони сеансу та засолені паролі. Маркери сесії - це спеціальний тип криптографічних файлів cookie, що інформують сайт мікрообладнання про те, що користувач уже ввійшов у систему. Поки маркер сеансу ще дійсний (не закінчився, не відкликаний чи видалений), користувачі можуть повернутися до Twitter, не відходячи назад щоразу.

Анулювання цих жетонів сеансу, як це сказав Twitter, гарантує, що зловмисники, яким вдалося перехопити маркери, не зможуть отримати доступ до вашого облікового запису. Враховуючи кількість зловмисного програмного забезпечення для крадіжки даних, яке збирає файли cookie з заражених комп'ютерів, скидання маркера незручно для користувачів (для того, щоб знову увійти), але ефективно для запобігання зловмисникам.

Програми можуть входити

Однак є повідомлення про те, що деякі жетони, які використовуються сторонніми додатками, не вплинули. Створення нового пароля після отримання сповіщення про скидання не завадило власним мобільним додаткам або настільним клієнтам Twitter, таким як TweetDeck, надсилати нові повідомлення, повідомляє The Register. Наш власний Макс Едді сказав, що йому довелося змінити паролі для своїх акаунтів у Twitter протягом вихідних, але жодне із сторонніх додатків, які він використовував, не запропонувало йому оновити пароль на новіший.

Програми, що використовують API Twitter, зазвичай покладаються на OAuth, відкритий стандарт для аутентифікації на кількох сайтах. Відкликані маркери сеансу Twitter, схоже, не вплинули на додатки, які використовували OAuth для обробки автентифікації. Одна людина сказала «Реєстру», що програми не запитували новий пароль, поки його не буде видалено та встановлено знову.

"Коли на одному пристрої змінено пароль і у вас ввійшли два інші пристрої зі старим паролем (наприклад), постачальник повинен припинити всі відкриті сеанси для даного облікового запису", - заявив The Register в режимі McAfee, Sean Duca.

Програми, що використовують OAuth, отримують ключ криптографічного сеансу при першому аутентифікації за допомогою веб-сервісу та надсилають ключі при наступних візитах, повідомив SecurityWatch Сезон Серрудо, представник центральних лабораторій IOActive. Це дозволяє стороннім програмам працювати з відповідним сервісом без повторного надсилання інформації про пароль.

Серрудо ще не розглядав цю конкретну ситуацію, тому не давав жодних здогадок про те, що відбувається. SecurityWatch звернувся до Twitter про те, як він поводиться з сеансами OAuth і чекає, коли вони почують ще раз.

За політикою, Twitter не "в даний час закінчується термінами доступу", згідно керівництва компанії розробникам щодо використання OAuth. "Ваш маркер доступу буде недійсним, якщо користувач явно відхилить вашу програму від своїх налаштувань або якщо адміністратор Twitter призупинить вашу програму", - йдеться в керівництві.

Це був би другий випадок, пов’язаний з OAuth з Twitter за останні кілька тижнів. Нещодавно Cerrudo зателефонував Twitter, щоб не сповіщати користувачів про проблему дозволів, яку він спокійно вирішив.

Щоб дізнатися більше про Фахміду, слідкуйте за нею у Twitter @zdFYRashid.

Програми Twitter ще можуть твітувати, незважаючи на скидання пароля