Rumah Jam keamanan Aplikasi Twitter masih dapat men-tweet meskipun pengaturan ulang kata sandi

Aplikasi Twitter masih dapat men-tweet meskipun pengaturan ulang kata sandi

Video: Cara Mengatasi Lupa Email dan Kata Sandi Twitter (Desember 2024)

Video: Cara Mengatasi Lupa Email dan Kata Sandi Twitter (Desember 2024)
Anonim

Twitter bergerak cepat untuk mengunci akun pengguna dan mencabut token sesi setelah pelanggaran minggu lalu, tetapi tampaknya beberapa token dibiarkan aktif, memungkinkan aplikasi pihak ketiga untuk terus mengakses Twitter menggunakan kredensial lama.

Jika Anda adalah salah satu dari 250.000 pengguna Twitter yang menerima email atur ulang kata sandi pada hari Jumat, semoga Anda telah mengubah kata sandi Anda. Jika Anda menggunakan aplikasi pihak ketiga untuk memposting di Twitter, mungkin aplikasi tersebut masih menggunakan kredensial lama Anda. Copot pemasangan dan instal ulang aplikasi agar berada di sisi yang aman.

Seperti yang kami laporkan di SecurityWatch selama akhir pekan, penyerang mencuri nama pengguna, alamat email, token sesi, dan kata sandi asin-dan-hash. Token sesi adalah jenis khusus cookie kriptografis yang menginformasikan situs mikro-blogging bahwa pengguna sudah login. Selama token sesi masih valid (tidak kedaluwarsa, dicabut, atau dihapus), pengguna dapat kembali ke Twitter tanpa masuk kembali. di setiap waktu.

Mencabut token sesi ini, seperti yang dikatakan Twitter, memastikan bahwa penyerang yang berhasil mencegat token tidak dapat mengakses akun Anda. Mengingat jumlah malware yang mencuri data di luar sana memanen cookie dari komputer yang terinfeksi, mengatur ulang token tidak nyaman bagi pengguna (karena harus masuk kembali) tetapi efektif mencegah penyerang keluar.

Aplikasi Dapat Masuk

Namun, ada laporan bahwa beberapa token yang digunakan oleh aplikasi pihak ketiga tidak terpengaruh. Membuat kata sandi baru setelah menerima pemberitahuan setel ulang tidak mencegah aplikasi seluler Twitter atau klien desktop seperti TweetDeck mengirimkan pos baru, The Register melaporkan. Max Eddy kami sendiri mengatakan bahwa ia harus mengubah kata sandi ke akun Twitternya selama akhir pekan, tetapi tidak ada aplikasi pihak ketiga yang digunakannya yang mendorongnya untuk memperbarui kata sandi dengan yang lebih baru.

Aplikasi yang menggunakan API Twitter biasanya mengandalkan OAuth, standar terbuka untuk otentikasi di beberapa situs. Token sesi yang dicabut oleh Twitter tampaknya tidak mempengaruhi aplikasi yang menggunakan OAuth untuk menangani otentikasi. Satu orang mengatakan kepada The Register bahwa aplikasi tidak meminta kata sandi baru sampai dihapus dan dipasang kembali.

"Ketika kata sandi diubah pada satu perangkat dan Anda memiliki dua perangkat lain yang masuk dengan kata sandi lama (misalnya), vendor harus menghentikan semua sesi terbuka untuk akun yang diberikan, " kata Sean Duca dari McAfee, kepada The Register.

Aplikasi yang menggunakan OAuth menerima kunci sesi kriptografi pertama kali diotentikasi dengan layanan Web, dan mengirimkan kunci pada kunjungan berikutnya, Cesar Cerrudo, CTO dari IOActive Labs, mengatakan kepada SecurityWatch. Ini memungkinkan aplikasi pihak ketiga bekerja dengan layanan yang dimaksud tanpa berulang kali mengirim informasi kata sandi.

Cerrudo belum melihat situasi khusus ini, jadi tidak menawarkan dugaan tentang apa yang terjadi. SecurityWatch telah menjangkau ke Twitter tentang bagaimana ia memperlakukan sesi OAuth dan menunggu untuk mendengar kembali.

Menurut kebijakan, Twitter tidak "saat ini token akses kedaluwarsa, " menurut pedoman perusahaan kepada pengembang tentang penggunaan OAuth. "Token akses Anda tidak akan valid jika pengguna secara eksplisit menolak aplikasi Anda dari pengaturan mereka atau jika admin Twitter menangguhkan aplikasi Anda, " kata panduan itu.

Ini akan menjadi insiden kedua terkait OAuth dengan Twitter dalam beberapa minggu terakhir. Cerrudo baru-baru ini memanggil Twitter karena tidak memberi tahu pengguna tentang masalah izin yang telah diperbaiki dengan diam-diam.

Untuk informasi lebih lanjut dari Fahmida, ikuti dia di Twitter @zdFYRashid.

Aplikasi Twitter masih dapat men-tweet meskipun pengaturan ulang kata sandi