image

Twitter gehackt, reset 250.000 wachtwoorden

zaterdag 2 februari 2013, 08:24 door Redactie, 9 reacties

Aanvallers zijn erin geslaagd om toegang tot de systemen van Twitter te krijgen, waarbij mogelijk ook de gegevens van honderdduizenden gebruikers zijn gecompromitteerd. In een blogposting stelt het bedrijf dat het deze week "ongewone toegangspatronen" detecteerde, wat tot de ontdekking van "ongeautoriseerde toegangspogingen" tot de gegevens van Twittergebruikers leidde.

Eén van de aanvallen zou zelfs nog gaande zijn en werd meteen door Twitter afgesloten. Uit onderzoek blijkt dat de aanvallers "mogelijk" toegang tot de gegevens van gebruikers hebben gehad. Het gaat dan om de gebruikersnamen, e-mailadressen, sessietokens en gehashte en gesalte wachtwoorden voor zo'n 250.000 gebruikers.

Als voorzorgsmaatregel is nu besloten om de wachtwoorden van deze gebruikers te wijzigen en de sessietokens voor deze accounts in te trekken. Getroffen gebruikers krijgen van Twitter een e-mail met verdere instructies over het wijzigen van het wachtwoord. Het is nog altijd onduidelijk of er ook daadwerkelijk gegevens zijn buitgemaakt.

Advies
"Hoewel slechts een klein percentage van onze gebruikers mogelijk door deze aanval getroffen is, raden we alle gebruikers aan om deze gelegenheid aan te grijpen om te controleren of ze goede wachtwoordhygiëne volgen, zowel op Twitter als ergens anders op het internet", zegt Bob Lord, directeur Information Security.

Daarbij wordt geadviseerd een wachtwoord van minstens 10 karakters te gebruiken, bestaande uit hoofdletters, kleine letters, getallen en vreemde tekens. Twitter had beter een passphrase kunnen adviseren, een 'wachtwoord' dat uit meerdere woorden bestaat. Passphrases zijn over het algemeen makkelijker te onthouden en lastiger te kraken.

Daarnaast adviseert Twitter ook om Java in de browser uit te schakelen. In eerste instantie adviseerde Twitter om Java op de gehele machine uit te schakelen, maar daar kwam het later op terug door te stellen dat dit alleen in de browser noodzakelijk is.

Reacties (9)
02-02-2013, 10:50 door [Account Verwijderd]
[Verwijderd]
02-02-2013, 11:34 door Anoniem
Brenno de Winter was ook gehacked. Nu moest ie overal zijn wachtwoorden wijzigen.
Kijk daarom neem ik altijd een triviaal wachtwoord voor zo iets, niet mijn wachtwoord voor belangrijke systemen.
Het is niet mijn probleem als mijn twitter account gehacked wordt, dat lost twitter maar lekker voor me op.
Maar wat ik niet wil is dat het hacken van mijn wachtwoord bij twitter betekent dat ze ook elders onder mijn naam kunnen inloggen...
02-02-2013, 13:32 door [Account Verwijderd]
[Verwijderd]
02-02-2013, 14:43 door john west
Het zou nog veiliger zijn naar mijn mening om dit soort speciale tekens te kunnen gebruiken.
Voorbeeld:


?ØÞ¢¼Ûß÷®µ??

Alleen of dit zal werken ?
02-02-2013, 14:57 door [Account Verwijderd]
[Verwijderd]
02-02-2013, 16:30 door yobi
Helaas nog weinig details. De relatie met de Java-plugin zie ik niet. Wel een goed advies om deze uit te schakelen. Misschien zijn ze bang dat er exploits op sommige pagina's zijn geplaatst.

In ieder geval goed advies van Brenno de Winter: Iedere login een ander wachtwoord en deze in een beveiligde container opslaan. Nu hoeft hij niet overal wachtwoorden aan te passen.
03-02-2013, 19:12 door Anoniem
- wachtwoordhygiëne

Is dit voor in de nieuwe woordenlijst van 2013??
04-02-2013, 09:10 door SecuritySander
In ieder geval prettig dat wachtwoorden wel encrypted en salted zijn. En goed dat de betrokken gebruikers geinformeerd zijn (iemand zo'n mailtje gehad?!). Jammer dat twitter in algemeenheden blijft hangen: weinig details over de aanval, tip om woorden slim te kiezen en om java uit te zetten.

Qua passphrases: ik zie die dingen altijd als gewone wachtwoorden, maar met spatie als extra te gebruiken teken. Meestal kiezen mensen wel een iets moeilijker wachtwoord daardoor. Overigens: speciale leestekens maken het complexer, maar zijn soms wel lastig - sommige platformen kunnen hier niet zo goed tegen...
04-02-2013, 09:21 door Anoniem
Toevoegen van 1 of meer speciale karakters zorgt ervoor dat de entropy van de sleutel wordt verbeterd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.