AP Twitter hack prosi o nowe spojrzenie na potrzeby cyberbezpieczeństwa

Porwanie hakerów na Twitterze szybko staje się rytuałem przejścia dla dużych korporacji, ale wtorkowy atak na Associated Prasa może być punktem krytycznym i pokazuje, że sieci społecznościowe muszą zrobić więcej, aby zapewnić bezpieczeństwo swoim użytkownikom, powiedział ekspert bezpieczeństwa.

Większe wykorzystanie uwierzytelniania dwuskładnikowego, które może obejmować wysłanie kodu dostępu do użytkownika na drugim urządzeniu taki jak smartfon, to jedno możliwe rozwiązanie. Taki mechanizm mógłby zostać wprowadzony selektywnie, jak twierdzą niektórzy eksperci, w przypadku kont o wysokich profilach, takich jak gwiazdy i duże korporacje.

"Twitter musi wejść na pokład i udostępnić uwierzytelnianie dwuskładnikowe … tak szybko, jak to możliwe" - powiedział Andrew Storms, dyrektor ds. operacji bezpieczeństwa w nCircle Security.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Konto Twittera AP zostało posiekane we wtorek rano, co skutkowało fałszywym tweetem informującym o "dwóch eksplozjach w Biały Dom i Barack Obama są ranni. " Grupa, która nazywa się Syryjską Armią Elektroniczną, wzięła na siebie odpowiedzialność za pośrednictwem własnego konta na Twitterze.

Tweet był widoczny tylko przez kilka minut, ale średnia przemysłowa Dow Jones miała nurkowanie na nosie natychmiast po tym, jak została wysłana przed odzyskaniem kilku minut później. W przeciwieństwie do wcześniejszych incydentów hakerskich "ten miał wpływ na świat" - zauważył Steve Brunetto, dyrektor ds. Zarządzania produktami w EdgeWave, firmie zajmującej się zabezpieczeniami mediów społecznościowych i poczty elektronicznej.

AP dołącza do listy firm, które zostały ostatnio zhakowane na Twitterze. Trzy marki CBS - 60 minut, 48 godzin i afiliacja z Denver - zostały porwane w zeszły weekend. New York Times, The Wall Street Journal i The Washington Post również zostały zhakowane w ostatnich miesiącach. W lutym Twitter ogłosił, że sama strona została naruszona.

Uszkodzono również konta na Twitterze firmy Burger King i firmy samochodowej Jeep. Po tych incydentach, Twitter nakłania użytkowników do mądrzejszego posługiwania się hasłami i sposobu korzystania z witryny.

Twitter pozostał w dużej mierze cichy po wtorkowym ataku AP. "Nie komentujemy poszczególnych kont ze względu na prywatność i bezpieczeństwo" - powiedział rzecznik. Ale teraz może być idealnym momentem, aby sieć społecznościowa zastosowała mocniejsze zabezpieczenia, aby zapobiec przyszłym naruszeniom kont, twierdzą niektórzy eksperci.

"Twitter musi przyspieszyć proces zwiększania bezpieczeństwa cybernetycznego," powiedział Brunetto z EdgeWave.

Mark Risher, CEO w Impermium, firmie zajmującej się bezpieczeństwem w Internecie w Redwood City, w Kalifornii, powiedział, że uważa, że ​​Twitter już poważnie traktuje bezpieczeństwo, ale wtorkowy atak "podniósł" obawy, powiedział.

Jedną ze strategii byłoby wdrożenie przez Twitter dwustopniowy system uwierzytelniania. W jednej wspólnej implementacji, gdy użytkownicy logują się do witryny ze swojego laptopa, Twitter wysłałby im hasło do drugiego urządzenia, na przykład telefonu komórkowego. Następnie będą musieli wprowadzić ten kod, jak również swój login i hasło, aby uzyskać dostęp do strony.

Wzywa Twittera, aby zaadoptował taki system, gdy strona zostanie zhackowana, ale atak AP może stać się punktem krytycznym, powiedział nCircle's Burze

Jeśli Twitter nie chce uwierzytelniać dwuetapowego uwierzytelniania dla wszystkich kont, firma może wymagać tego tylko dla kont, które przekazują określoną liczbę obserwatorów, zasugerował.

Może być oferowana dwuetapowa weryfikacja do dużych marek i innych znanych klientów, zgodził się Jon Oberheide, współzałożyciel i główny specjalista ds. technologii w Duo Security, który opracowuje oprogramowanie do uwierzytelniania.

Ale konta, które stosują uwierzytelnianie dwuetapowe, mogą nadal być podatne, jeśli ci, którzy używają kont są poddani e-mailowy atak phishingowy, powiedział Risher z Impermium. "Haker mógł sfałszować stronę logowania z prośbą o kod, który właśnie otrzymałeś", powiedział.

Alternatywnie atak phishingowy może zostać użyty do zainstalowania rejestratora naciśnięć klawiszy na komputerze użytkownika, zapisując swój login i hasło przy następnym wejściu.

Alternatywnie, Twitter i inne sieci społecznościowe powinny uważniej przyglądać się interakcji użytkowników z ich usługami i obserwuj sygnały, które mogą wskazywać na nieautoryzowaną aktywność, powiedział Risher, którego firma opracowuje algorytmy identyfikujące taką aktywność. Może to wyglądać na przykład, jak użytkownicy angażują się w treść i jak często tweetują i są na przykład przekierowywani.

Twitter może również zastosować metodę uwierzytelniania opartą na ryzyku, zadając użytkownikom osobiste pytania identyfikacyjne po zalogowaniu się z nieznanego komputera, na przykład.

Użytkownicy mogą jednak zrobić więcej, aby chronić własne konta w mediach społecznościowych. Używanie silniejszych haseł, częsta ich zmiana i ochrona sieci Wi-Fi za pomocą haseł to wszystkie zalecane praktyki. Posiadanie słabego hasła mogło odegrać rolę w naruszeniu konta AP. Syryjska Armia Elektroniczna napisała tweeta o rzekomym haśle "APm @ rketing" później tego popołudnia.

Ale obowiązek powinien być na portalach społecznościowych, aby zapewnić bezpieczeństwo kont swoich użytkowników, powiedział Risher. "To powinno być jak podział 80/20", powiedział, dodając, "lwią część pracy powinny wykonać strony."

Apple, Facebook i Google należą do firm, które już oferują dwuetapowy uwierzytelnianie jako opcja dla użytkowników.

Twitter jest wielkim celem naruszeń ze względu na swoją bezpośredniość, powiedział Obenhaim. Jednym z głównych celów Twittera jest rozpowszechnianie informacji w czasie zbliżonym do rzeczywistego, podczas gdy strony firmowe na Facebooku są często mniej aktywne.

Inne pomysły, które zostały udostępnione w celu prowadzenia konta i identyfikacji bezpiecznych online obejmują użycie "fizycznych" hasła, które mogą przybrać postać biżuterii. W artykule opublikowanym w styczniu, Google powiedział, że obecne strategie, w tym dwuetapowy system weryfikacji, są niewystarczające.

Stawka jest wysoka, jeśli chodzi o cyberbezpieczeństwo, jak pokazał wtorkowy spadek na giełdzie. "Zniesławienie marki lub charakteru nie jest już jedynym rezultatem" - mówi Burza w Szturmie.

Publikowanie fikcyjnych tweetów o oburzającym zachowaniu pracowników w Burger Kingu to jedno, ale tweetują, że prezydent został ranny po eksplozji w Białym Domu "może mieć poważny wpływ" szerzej, zauważył Duo's Oberheide.

Takie hacki są również bardziej znaczące, ponieważ amerykańska Komisja Papierów Wartościowych i Giełd stwierdziła, że ​​pozwoliłoby spółkom publicznym na ujawnianie istotnych informacji korporacyjnych na portalach społecznościowych.

SEC odmówił komentarza we wtorek w sprawie AP i innych haseł na Twitterze.

Zach Miners obejmuje serwisy społecznościowe, wyszukiwarki i ogólne wiadomości technologiczne dla IDG News Service. Śledź Zach na Twitterze na @zachminers. Adres e-mail Zach to: [email protected]