Twitter fortsätter drabbas av säkerhetsincidenter
(Publicerad 2009-05-02)
Ännu en gång har Twitter blivit drabbade av en säkerhetsincident. En fransk cracker tog sig in till administrationspanelen genom att få tag i en adminstratörs konto. Hur? Genom Yahoo.
Intrånget tycktes börja den 27:e april då en Twitter-adminstratörs Yahoo-konto togs över av fransmannen. Tillvägagångssättet var det samma som från förra året då Sarah Palin fick se sitt konto kapat; återställning av lösenordet. En något intresseväckande detalj i sammanhanget är att administratören bad Yahoo-security kontakta honom, men övervägde tydligen inte konsekvenserna för vad hans kapade konto på Yahoo skulle kunna ha i övrigt. Det visade sig att i hans maillåda fanns inloggningsuppgifter till administratörspanelen på Twitter.
Några reflektioner:
--
Carl-Johan "CJ" Bostorp
Ännu en gång har Twitter blivit drabbade av en säkerhetsincident. En fransk cracker tog sig in till administrationspanelen genom att få tag i en adminstratörs konto. Hur? Genom Yahoo.
Intrånget tycktes börja den 27:e april då en Twitter-adminstratörs Yahoo-konto togs över av fransmannen. Tillvägagångssättet var det samma som från förra året då Sarah Palin fick se sitt konto kapat; återställning av lösenordet. En något intresseväckande detalj i sammanhanget är att administratören bad Yahoo-security kontakta honom, men övervägde tydligen inte konsekvenserna för vad hans kapade konto på Yahoo skulle kunna ha i övrigt. Det visade sig att i hans maillåda fanns inloggningsuppgifter till administratörspanelen på Twitter.
Några reflektioner:
- Mailkonton är nästan alltid bundna till andra konton.
- Återigen så är beroenden något som missas. Och det är precis vad som används vid intrång - en angripare kommer vara väldigt medveten om vilka beroenden som finns eftersom han lägger kraft på att hitta dem.
- Lösenordsåterställningsfunktioner är en balansgång mellan säkerhet och bekvämlighet. Grundproblemet finns dock alltid där: Hur vet man att personen verkligen är den som den utger sig för att vara?
- Yahoo väljer det som passar den stora massan och det som blir billigast för Yahoo. Det är fullt rimligt.
- Bland de som använder Yahoo Mail finns personer som tar risker som drabbar andra än dem själva. Förmodligen är detta risktagandet omedvetet.
- Organisationer bör tydliggöra hur externa siter får användas. Utgångsläget bör vara att hålla all information helt inom organisationens kontroll och utanför andras.
- Ska man förlita sig på andras system kan det vara klokt att göra en riskbedömning på beslutet först - i det inkluderas att utvärdera säkerhet i det systemet man förlitar sig på.
--
Carl-Johan "CJ" Bostorp
Kommentarer
Trackback
