AP Twitter hack vyzývá čerstvý pohled na cybersecurity potřebuje

Hacking na Twitteru se rychle stává obřadem průchodu pro velké korporace, ale úterý útok na Associated Tisk by mohl být bod překlopení a ukazuje, že sociální sítě musí udělat více, aby udržely své uživatele v bezpečí, uvedli bezpečnostní experti.

Širší použití dvoufaktorové autentizace, která může zahrnovat přístupový kód, který je odeslán uživateli na druhém zařízení jako je smartphone, je jedním z možných řešení. Takový mechanismus by mohl být zaveden selektivně, pro některé vysoce známé účty, jako jsou celebrity a velké korporace. "" Twitter se musí dostat na palubu a zpřístupnit dvoufaktorovou autentizaci … co nejrychleji, "řekl Andrew Storms, ředitel bezpečnostních operací v nCircle Security

Účet Twitter v AP byl v úterý ráno napaden, což vedlo k falešnému hlášení o tom, že došlo k "dvěma výbuchům Bílý dům a Barack Obama jsou zraněni. " Skupina, která si říká Sýrskou elektronickou armádu, si prohlásila zodpovědnost prostřednictvím vlastního Twitter účtu.

později. Na rozdíl od dřívějších hackerských incidentů "tento trh měl skutečný dopad na trhy," poznamenal Steve Brunetto, ředitel produktového managementu společnosti EdgeWave, společnosti sociálních médií a elektronické pošty.

AP spojuje seznam společností, které byli nedávno napadeni na Twitteru. Tři CBS značky - 60 minut, 48 hodin a Denverova zpravodajská pobočka - byly minulý víkend uneseny. New York Times, The Wall Street Journal a The Washington Post jsou v posledních měsících také hacknuty. V únoru Twitter oznámil, že stránky byly porušeny.

Účty Twitteru Burger King a automobilové společnosti Jeep byly rovněž ohroženy. Po těchto událostech Twitter vyzval uživatele, aby byli chytřejší svým heslem a tím, jak využívají tento web.

Twitteru zůstává velmi tichý po útoku AP v úterý. "Neodpovídáme individuální účty z důvodů ochrany soukromí a bezpečnosti," řekl mluvčí. Ale nyní může být ten správný čas, kdy by sociální síť měla používat silnější záruky, aby se zabránilo budoucím narušení účtu, někteří odborníci uvedli.

"Twitter musí rychleji urychlit zvyšování úsilí v oblasti kybernetické bezpečnosti," uvedl Brunetto z EdgeWave. Risher, generální ředitel společnosti Impermium, internetová bezpečnostní firma se sídlem v Redwood City, Kalifornie, uvedla, že si myslí, že Twitter již bere bezpečnost vážně, ale úterý útok vyvolává obavy, řekl.

dvoustupňový ověřovací systém. V jedné běžné implementaci, když se uživatelé přihlásí na stránky z notebooku, Twitter jim pošle přístupový kód k druhému zařízení, například k mobilnímu telefonu. Potřebujete zadat tento kód, stejně jako své přihlašovací údaje a heslo pro přístup k webu.

Vyžádání, aby Twitter přijal takový systém, se objevuje vždy, když je web napaden, ale útok AP se může stát bodem překlopení, řekl nCircle Storms

Pokud Twitter nechce pověřit dvoufaktorovou autentizaci pro všechny účty, společnost by jej mohla požadovat pouze pro účty, které projdou určitým počtem následovníků, navrhl.

Bylo by možné nabídnout dvoufázové ověření na velké značky a další významné účty, souhlasil Jon Oberheide, spoluzakladatel a vedoucí technik společnosti Duo Security, který vyvíjí autentizační software.

Účty používající dvoustupňovou autentizaci však mohou být náchylné, pokud ti, kteří používají účty, podléhají e-mailový phishingový útok, řekl Imperium's Risher. "Hacker by mohl falešnou přihlašovací stránku požádat o kód, který jste právě obdrželi," řekl.

Jinak by mohlo být phishingové útoky použity k instalaci loggeru klávesových zkratek do počítače uživatele, zaznamenáním jeho přihlašovacího jména a hesla při příštím zadání.

Jako alternativa by se Twitter a další sociální sítě měly více zaměřit na to, jak uživatelé komunikují s jejich službami a sledovat signály, které by mohly naznačovat nepovolenou činnost, řekl Risher, jehož společnost vyvíjí algoritmy pro identifikaci takové činnosti. Mohlo by se dívat na to, jak se uživatelé zabývají obsahem a jak často se píšou a jsou navštěvováni.

Twitter může také použít metodu autentizace založenou na rizicích tím, že se zeptá uživatelů na osobní identifikační otázky, když se přihlásí z neznámého počítače, například.

Uživatelé by však mohli udělat víc, než si zajistí vlastní účty sociálních médií. Používání silnějších hesel, jejich častá výměna a ochrana sítí Wi-Fi s hesly jsou doporučené postupy. Mít slabé heslo může hrát roli v porušování účtu AP. Sýrská elektronická armáda po pozdějším odpoledne tweeted údajné heslo "APm @ rketing".

Ale povinnost by měla být na stránkách sociálních médií, aby byla zajištěna bezpečnost účtů uživatelů, říká Risher. "Mělo by to být jako rozdělení 80/20," uvedl a dodal: "Lví podíl na práci by měl dělat stránky."

Apple, Facebook a Google patří mezi společnosti, které již nabízejí dva kroky autentizace jako volba pro uživatele.

Twitter je velký cíl pro narušení kvůli jeho bezprostřednosti, řekl Obenhaim. Jedním z hlavních cílů Twitteru je šíření informací v téměř reálném čase, například když stránky firem na Facebooku jsou často méně aktivní.

Další nápady, které byly zapsány, aby vedly účty a identifikovaly bezpečné online, zahrnují použití "fyzických" hesla, která by mohla mít formu šperku. Ve výzkumném dokumentu zveřejněném v lednu společnost Google uvedla, že současné strategie, včetně systému dvoufázového ověření, jsou nedostatečné.

Významné je to, pokud jde o počítačovou bezpečnost, jak ukázala úterní burza. "Značka nebo hanobení charakteru už není jediný výsledek," říká nCircle's Storms.

Vysílání fiktivních tweets o pobuřujícím chování zaměstnanců v Burger King je jedna věc, ale tweeting, že prezident byl zraněn po výbuchu v Bílém domě "To může mít závažný dopad", což je zřejmé, "poznamenal Duoův Oberheide.

Takové hackery jsou také významnější, protože americká Komise pro cenné papíry a burza uvedla, že by veřejným společnostem umožnila zveřejňovat materiální firemní informace na stránkách sociálních médií. Společnost SEC odmítla v úterý vyjádřit své připomínky k AP a dalším nedávným hackerům na Twitteru.

Zach Miners zahrnuje sociální sítě, vyhledávání a obecné technologické novinky pro IDG News Service. Sledujte Zach na Twitteru u @zachminers. Zachova e-mailová adresa je [email protected]