AP Twitter hack potiče svjež pogled na potrebe cybersecuritya

Snimanje na Twitteru brzo postaje obred prijelaza velikih korporacija, no utorak napada na Associated Pritisak bi mogao biti točnost i pokazuje da društvene mreže moraju učiniti više kako bi korisnici ostali sigurni, priopćili su stručnjaci za sigurnost.

Šira upotreba autentifikacije s dva faktora, što može uključivati ​​pristupni kod koji se šalje korisniku na drugom uređaju kao što je smartphone, jedno je od mogućih rješenja. Takav mehanizam mogao bi biti selektivno uveden, kao što su poznate osobe i velike korporacije, priopćili su neki stručnjaci.

"Twitter mora doći na brod i omogućiti dostupnost autentičnosti s dva faktora … što je brže moguće", rekao je Andrew Storms, direktor za sigurnosne operacije u nCircle Securityu

[

] Twitter račun AP je hakiran u utorak ujutro, što je rezultiralo u lažnom cvrkutu koji je izvijestio kako su "dvije eksplozije u Bijela kuća i Barack Obama ozlijeđeni su. " Grupa koja se naziva Sirijska elektronička vojska preuzela je odgovornost, putem vlastitog Twitter računa.

Cvrkut je vidljiv samo nekoliko minuta, ali industrijski prosjek Dow Jones je zaronio odmah nakon što je objavljen prije nego što je oporavio nekoliko minuta kasnije. Za razliku od nekih prethodnih slučajeva sjeckanja, "ovaj je imao utjecaj na tržište", istaknuo je Steve Brunetto, direktor za upravljanje proizvodima u tvrtki EdgeWave, društveni medij i tvrtka za zaštitu elektroničke pošte.

AP se pridružuje popisu tvrtki koje nedavno su bili hakirani na Twitteru. Tri CBS marke - 60 minuta, 48 sati i suradnik Denverove vijesti - oteli su ovaj prošli vikend. New York Times, The Wall Street Journal i The Washington Post također su bili hakirani posljednjih mjeseci. U veljači, Twitter je najavio da je stranica sama bila prekršena.

Twitter računi Burger King i Jeep tvrtke automobila također su ugrožena. Nakon tih incidenta, Twitter je pozvao korisnike da budu pametniji sa svojim lozinkama i kako koriste web-mjesto.

Twitter je ostao u velikoj mjeri miran nakon napada AP u utorak. "Mi ne komentiramo o pojedinačnim računima zbog privatnosti i sigurnosnih razloga", rekao je glasnogovornik. No, sada je možda idealno vrijeme za socijalnu mrežu da zapošljavaju čvršće zaštitne mjere kako bi spriječile kršenje budućih računanja, priopćili su neki stručnjaci. "Twitter se mora brže kretati u povećanju svojih napora u cybersecurity", rekao je Brunetto EdgeWave. Risher, izvršni direktor tvrtke Impermium, tvrtka za internetsku sigurnost sa sjedištem u gradu Redwood City, u Kaliforniji, izjavio je kako misli da Twitter već ozbiljno shvaća sigurnost, no napad u utorak "povećava" zabrinutost. dvostupanjski sustav provjere autentičnosti. U jednoj zajedničkoj implementaciji, kada se korisnici prijavljuju na web s njihovog prijenosnog računala, Twitter će im poslati pristupni kôd na drugi uređaj, kao što je njihov mobilni telefon.

Pozivi za Twitter da usvoje takav sustav ponovno se pojavljuju kad god je stranica hakirana, ali napada AP-a može postati točka kretanja, rekao je nCircle's Oluje

Ako Twitter ne želi poslati autentifikaciju s dva faktora za sve račune, tvrtka bi to mogla zahtijevati samo za račune koji prolaze određeni broj sljedbenika, predlaže.

Potrebna je potvrda u dva koraka do velikih robnih marki i drugih istaknutih računa, složio se Jon Oberheide, suosnivač i glavni tehnološki časnik tvrtke Duo Security, koji razvija softver za provjeru autentičnosti.

No računi koji koriste autentifikaciju u dva koraka mogu biti osjetljivi ako se oni koji koriste račune podvrgavaju e-mail phishing napad, rekao je Imperialov Risher. "Haker bi mogao lažirati stranicu za prijavu i tražiti kod koji ste upravo primili", rekao je.

Alternativno, napad na krađu identiteta može se upotrijebiti za instalaciju logger keystrokea na korisničkom računalu, snimajući njihovu prijavu i lozinku sljedeći put kada ga unesu.

Kao alternativa, Twitter i druge društvene mreže trebaju detaljnije pogledati kako korisnici komuniciraju s njihovim uslugama i paziti na signale koji bi mogli ukazivati ​​na neovlaštenu aktivnost, rekao je Risher, čija tvrtka razvija algoritme za prepoznavanje takve aktivnosti. Primjerice, Twitter bi mogao koristiti metodu provjere autentičnosti temeljenu na rizicima, tražeći od korisnika korisnička identifikacijska pitanja kada se prijavite s nepoznatog računala, na primjer.

Korisnici mogu učiniti više kako bi zaštitili svoje račune društvenih medija, međutim. Koristeći jače zaporke, često ih mijenjate i zaštitite Wi-Fi mreže s lozinkama preporučene su prakse. Imajući slabu lozinku možda je igrao ulogu u kršenju računa AP-a. Sirijska elektronička vojska tweeted navodno lozinku "APm @ rketing" kasnije poslijepodne.

Ali onus bi trebao biti na društvenim medijima stranice kako bi se osigurala sigurnost svojih računa korisnika, rekao je Risher. "To bi trebalo biti kao razdjeljak od 80/20", dodao je, dodajući kako "najveći dio posla treba obavljati web lokacije."

Apple, Facebook i Google su među tvrtkama koje već nude dvostupanjski autentifikaciju kao opciju za korisnike.

Twitter je veliki cilj za kršenja zbog neposrednosti, rekao je Obenhaim. Jedna od Twitterovih primarnih svrha je, primjerice, širenje informacija u bliskom realnom vremenu, a stranice tvrtke na Facebooku često su manje aktivne.

Ostale ideje koje su plutaju za održavanje računa i identifikacije sigurne na mreži uključuju upotrebu "fizičkih" lozinke, koje mogu biti u obliku nakita. U istraživačkom članku objavljenom u siječnju, Google je rekao da postojeće strategije, uključujući i sustav potvrde u dva koraka, nisu dovoljne.

Ulozi su visoki kada je u pitanju kibernetska sigurnost, kako je pokazalo utorak u utorak burzovne burze. "Klevetanje robne marke ili karaktera više nije jedini rezultat", rekao je Circle's Storms.

Postavljanje fiktivnih tweetova o neobičnom ponašanju zaposlenika u Burger Kingu je jedno, ali tweeting da je predsjednik ozlijeđen nakon eksplozije u Bijeloj kući "mogu imati ozbiljan utjecaj" šire, navodi Duo's Oberheide.

Takvi hakeri također su značajniji jer je Komisija za vrijednosne papire SAD-a priopćila kako će omogućiti javnim poduzećima otkrivanje materijalnih korporativnih informacija na web stranicama društvenih medija. DIP se odbio komentirati u utorak na AP-ovima i ostalim nedavnim hackovima na Twitteru.

Zach Miners pokriva društveno umrežavanje, pretraživanje i opće tehnologijske vijesti za IDG News Service. Slijedite Zach na Twitter na @zachminers. Zachova adresa e-pošte je [email protected]