Μία εβδομάδα μετά από το hack στον λογαριασμό του Associated Press που ανέφερε μια ανύπαρκτη βομβιστική επίθεση στο Λευκό Οίκο, το Twitter αποφάσισε ότι ήταν καιρός να πάρει μέτρα. Και τα μέτρα που πήρε; Προειδοποίησε τους δημοσιογράφους ότι θα πρέπει να περιμένουν και άλλες επιθέσεις!!
“Πιστεύουμε ότι οι επιθέσεις αυτές θα συνεχιστούν και ότι οι εταιρείες μέσων μαζικής ενημέρωσης θα συνεχίσουν να είναι στόχοι υψηλής αξίας για τους hackers,” ανέφερε η εταιρεία σε υπόμνημα που έστειλε σε διάφορα πρακτορεία ειδήσεων το βράδυ της Δευτέρας και δημοσιεύτηκε από το BuzzFeed. Στο υπόμνημα, το Twitter αναφέρει μια ολόκληρη σειρά από αντι-hacking τεχνικές, που περιλαμβάνουν την περιορισμένη πρόσβαση στο λογαριασμό, την αλλαγή του κωδικού πρόσβασης, και έναν υπολογιστή χωρίς email μόνο για την σύνδεση στο Twitter, έτσι ώστε οι εργαζόμενοι να μην πέσουν άθελά τους για μια επίθεση phishing. To ανεύθυνο Twitter και οι απρόσεχτοι δημοσιογράφοι
Το υπόμνημα του Twitter συνεχίζει με αρκετές σημαντικές οδηγίες προς τους ναυτιλλομένους (υπάρχει ολόκληρο στο τέλος της δημοσίευσης), ξεχνώντας κάτι πολύ σημαντικό.
Όλη αυτή η στρατηγική της εταιρείας δεν μπορείτε να πείτε είναι αρκετά βοηθητική, αλλά δεν περιλαμβάνει προσωπική ευθύνη.
Πάντα το δάχτυλο του Twitter δείχνει τους δημοσιογράφους ή γενικότερα τους ανθρώπους που έπεσαν θύματα σε ένα hacking. Με τις οδηγίες και πάλι η ευθύνη είναι δική μας. Το γεγονός ότι καθημερινά υπάρχουν κρούσματα παραβιάσεων δεν κάνει την εταιρεία να αναρωτηθεί “Μήπως και εμείς δεν κάνουμε κάτι καλά;”
Ευτυχώς, το Twitter ανακοίνωσε ότι θα κάνει κάτι με το θέμα της ασφάλειας του. Η εταιρεία ανακοίνωσε πρόσφατα την επικείμενη και πολυαναμενόμενη άφιξη της επαλήθευσης με δύο βήματα. Το γεγονός ότι η εταιρεία ανακοίνωσε το νέο χαρακτηριστικό την ίδια ημέρα με το hack του Associated Press το προσπερνάμε.
Το υπόμνημα του Twitter
Please help us keep your accounts secure. There have been severalrecent incidents of high-profile news and media Twitter handles being compromised. We believe that these attacks will continue, and that news and media organizations will continue to be high value targets to hackers.
What to be aware of:
These incidents appear to be spear phishing attacks that target your corporate email. Promoting individual awareness of these attacks within your organization and following the security guidelines below is vital to preventing abuse of your Twitter accounts.
Take these steps right now:
Change your Twitter account passwords. Never send passwords via e-mail, even internally. Ensure that passwords are strong- at least 20 characters long. Use either randomly-generated passwords (like “LauH6maicaza1Neez3zi”) or a random string of words (like “hewn cloths titles yachts refine”).
Keep your email accounts secure. Twitter uses email for password resets and official communication. If your email provider supports two-factor authentication, enable it. Change your e-mail passwords, and use a password different from your Twitter account password.
Review your authorized applications. Log in to Twitter and review the applications authorized to access your accounts. If you don’t recognize any of the applications, contact us immediately by emailing ______@twitter.com.
Help us protect you. We’re working to make sure we have the most updated information on our partners’ accounts. Please send us a complete list of all accounts affiliated with your organization, so that we can help keep them protected.
Build a plan. Create a formal incident response plan. If you suspect your organization is being targeted by a phishing campaign or has been compromised by a phishing attack, enact the plan.
Contact us immediately at ______@twitter.com with the word “Hacking” in the subject. Include copies of suspected phishing emails.
If you lose access to an account, file a Support ticket and email the ticket number to ______@twitter.com.
Moving Forward:
Review our security guidelines to help make sure your accounts are as secure as possible.
Talk with your security team about ensuring that your corporate email system is as safe as possible. A third-party provider that allows for two-factor authentication might be a safer solution.
Strong security practices will reduce your vulnerability to phishing. Consider the following suggestions:
Designate one computer to use for Twitter. This helps keep your Twitter password from being spread around. Don’t use this computer to read email or surf the web, to reduce the chances of malware infection.
Minimize the number of people that have access. Even if you use a third-party platform to avoid sharing the actual Twitter account password, each of these people is a possible avenue for phishing or other compromise.
Check for signs of compromise. Checking your email address and authorized apps weekly or monthly can help detect unauthorized access and address the problem before access is abused.
Double-check the email address associated with your Twitter accounts: https://twitter.com/settings/account
Review the apps authorized to access your accounts: https://twitter.com/settings/applications
Change your password regularly. Changing your Twitter password quarterly or yearly can reset the clock if a password has leaked.
Using a Password Manager integrated into your browser can help prevent successful phishing attacks.
Third-party solutions such as 1Password or LastPass, as well as the browser’s built-in password manager, will only auto-fill passwords on the correct website. If the password manager does not auto-fill, this might indicate a phishing attempt.
Password managers make it much easier to use a very strong password. Very difficult passwords will discourage memorization, which will greatly reduce the chances of being phished.
Be certain to set a master password, since otherwise passwords may be stored unprotected.
Don’t hesitate to email us if you need assistance.