Wielkie firmy zatrudniają najlepszych specjalistów i inwestują miliony w wyrafinowane zabezpieczenia swoich sieci i baz danych. Mimo to życie pokazuje, że żaden system nie jest do końca bezpieczny. Włamanie do swoich systemów ogłosił właśnie Twitter.
Bob Lord, dyrektor działu bezpieczeństwa Twittera, ogłosił kilka godzin temu na firmowym blogu firmy, że w tym tygodniu doszło do nieuprawnionego dostępu do danych użytkowników. Wpis sugeruje, że włamanie odkryto, ponieważ zaobserwowano anomalię we wzorach dostępu do danych. Analiza zauważonych zjawisk pozwoliła wykryć atak w trakcie jego trwania i szybko zablokować. Mimo to atakującym udało się wykraść dane takiej jak nazwa użytkownika, adres email, solony hash hasła oraz token sesji ok. 250 tysięcy użytkowników Twittera. Twitter w przeszłości informował, że do hashowania haseł używa funkcji bcrypt, zatem wykradzione hashe mogą być bardzo trudne do złamania.
Oczywiście hasła oraz tokeny poszkodowanych użytkowników zostały natychmiast zresetowane, a użytkownicy otrzymali wiadomość email z informacją o możliwym wycieku ich danych i prośbą o ustalenie nowego hasła w serwisie.
Niestety wpis nie zawiera opisu szczegółów ataku, wskazując jedynie, że był on bardzo wyrafinowany i nie mógł być dziełem amatorów. Pada również sugestia, że także inne firmy mogły stać się ofiarami podobnych włamań. Z kolei jak donosi serwis Wired, poszkodowani użytkownicy otrzymują informację, że ich dane zostały ujawnione przez serwis nie skojarzony z Twitterem. To niestety nie tłumaczy, dlaczego doszło również do wycieku hashy haseł, które nie powinny być dostępne dla stron trzecich. Z kolei czytelnicy serwisu ArsTechnica informują, że emaile z informacją o resecie hasła docierają do użytkowników kont założonych w początkach działalności Twittera, omijając użytkowników nowszych kont, co sugeruje, że być może atakujący zdążył pobrać jedynie początkowy fragment bazy.
Twitter bez wątpienia nie był łatwym celem. W ostatnim roku kładł duży nacisk na bezpieczeństwo, zatrudniając między innymi znanych ekspertów takich jak Moxie Marlinspike (odszedł z firmy 2 tygodnie temu) oraz Charlie Miller.
Komentarze
„odszedł z firmy 2 tygodnie temu”, to już wszystko wiadomo :D
No to pochwała dla Twittera za szybką reakcję. Jestem chyba szczęśliwcem, który maila (dotąd?) nie dostał.