Twitter fortsätter drabbas av säkerhetsincidenter

(Publicerad 2009-05-02)

Ännu en gång har Twitter blivit drabbade av en säkerhetsincident. En fransk cracker tog sig in till administrationspanelen genom att få tag i en adminstratörs konto. Hur? Genom Yahoo.

Intrånget tycktes börja den 27:e april då en Twitter-adminstratörs Yahoo-konto togs över av fransmannen. Tillvägagångssättet var det samma som från förra året då Sarah Palin fick se sitt konto kapat; återställning av lösenordet. En något intresseväckande detalj i sammanhanget är att administratören bad Yahoo-security kontakta honom, men övervägde tydligen inte konsekvenserna för vad hans kapade konto på Yahoo skulle kunna ha i övrigt. Det visade sig att i hans maillåda fanns inloggningsuppgifter till administratörspanelen på Twitter.

Några reflektioner:
  • Mailkonton är nästan alltid bundna till andra konton.
  • Återigen så är beroenden något som missas. Och det är precis vad som används vid intrång - en angripare kommer vara väldigt medveten om vilka beroenden som finns eftersom han lägger kraft på att hitta dem.
  • Lösenordsåterställningsfunktioner är en balansgång mellan säkerhet och bekvämlighet. Grundproblemet finns dock alltid där: Hur vet man att personen verkligen är den som den utger sig för att vara?
  • Yahoo väljer det som passar den stora massan och det som blir billigast för Yahoo. Det är fullt rimligt.
  • Bland de som använder Yahoo Mail finns personer som tar risker som drabbar andra än dem själva. Förmodligen är detta risktagandet omedvetet.
  • Organisationer bör tydliggöra hur externa siter får användas. Utgångsläget bör vara att hålla all information helt inom organisationens kontroll och utanför andras.
  • Ska man förlita sig på andras system kan det vara klokt att göra en riskbedömning på beslutet först - i det inkluderas att utvärdera säkerhet i det systemet man förlitar sig på.
... man kan fundera på hur alla dessa säkerhetsincidenter påverkar Twitters affärer. Vid det här laget borde deras brist på säkerhet ha skrämt en hel del av Twitters högprofilerade användare så som Britney Spears och Ashton Kutcher. Kommer de verkligen våga fortsätta?

--
Carl-Johan "CJ" Bostorp

Kommentarer

Kommentera inlägget här:

Namn:
Kom ihåg mig?

E-postadress: (publiceras ej)

URL/Bloggadress:

Kommentar:

Trackback

HPS säkerhetsblogg


High Performance Systems logo


RSS 2.0