Σημαντικό κενό ασφαλείας κατά τη σύνδεση χρήστη στο Twitter

[dimitris2006]

Ένα νέο, σημαντικό κενό ασφαλείας ανακάλυψε χρήστης του Twitter το οποίο μπορεί να θέσει σε κίνδυνο τους λογαριασμούς των χρηστών του δημοφιλούς micro blogging site. Συγκεκριμένα ο χρήστης Daniel Dennis Jones αναφέρει ότι ο λογαριασμός του παραβιάστηκε και στη συνέχεια αλλάχθηκε το όνομα χρήστη του.Με αυτό τον τρόπο δίνεται η δυνατότητα στους χάκερς να τροποποιούν τα ονόματα των χρηστών, να δημιουργούν νέους λογαριασμούς με τους οποίους θα εγγράφονται με τα παραβιασμένα ονόματα και να τους πουλάνε. Ο Daniel όταν ανέκτησε την πρόσβαση στο λογαριασμό του είδε όλα του τα tweet να έχουν διαγραφεί, τον αριθμό των ατόμων που τον ακολουθούν να έχει μειωθεί σημαντικά, αλλά και το όνομα χρήστη του να έχει τροποποιηθεί, ενώ αυτό που χρησιμοποιούσε ήταν πλέον κατοχυρωμένο σε τρίτο λογαριασμό.

 

Οι περισσότερες ιστοσελίδες όταν αντιλαμβάνονται πολλαπλές αποτυχημένες προσπάθειες σύνδεσης χρηστών μαρκάρουν τους λογαριασμούς ως μη ασφαλείς ή εμφανίζουν μια εικόνα CAPTCHA στην οποία ο χρήστης πρέπει να πληκτρολογήσει το περιεχόμενό της. Το Twitter δε κάνει χρήση αυτής της λειτουργίας, αλλά όταν σημειώνονται πολλαπλές αποτυχημένες προσπάθειες σύνδεσης, απαγορεύει τις IP διευθύνσεις. Αυτό είναι εύκολο να προσπαραστεί από τους χάκερς ή κράκερς οι οποίοι έχουν να αντιμετωπίσουν λιγότερες δικλείδες ασφαλείας.

 

Site: gizmodo.com

[brickman]

Ωραία η κοπελιά...!

[SpirosLouis]

Εγώ από όσο μπορώ να καταλάβω απλά μιλάμε για μια επίθεση brute-force. Άμα είναι έτσι δεν βλέπω κάποιο μεγάλο κενό ασφαλείας. Αν ο χρήστης έχει για password το 1234567 ξέροντας το username του δεν είναι και τόσο δύσκολο. Ειδικά άμα είναι κάποιος που μπορείς και παρακολουθείς με τι ασχολείται.(+ social engineering)

[planelover]

Το όνομα της κοπέλας το έχουμε;;;;; :D

[Angeldust]

Αφήστε τον Indiana Jones (που σίγουρα θα είχε κωδικό 123456) και δώστε μας τώρα το όνομα της γκόμενας

[damoclesword]

Ωχ! Ελπίζω να μην κερδίσει άλλος το iphone του διαγωνισμού του insomnia έτσι!

[BlackScorpionX]

Εγώ μπήκα για να δω το όνομα της κοπελιάς αλλά τελικά ούτε εσείς ξέρετε! DAMN!

Επίσης δεν έχω twitter και κατά συνέπεια το θέμα δε με ενδιαφέρει κατά τα άλλα.

Βέβαια δε βλέπω και πολύ κόσμο να ενδιαφέρεται για το κενό ασφαλείας

[chrisde]

Minka Kelly (αστοιχείωτοι...;-)

http://www.imdb.com/name/nm1310368/

https://www.google.gr/search?q=Minka+Kelly&hl=en&client=firefox-a&hs=WMp&rls=org.mozilla:en-US:official&prmd=imvnsol&source=lnms&tbm=isch&sa=X&ei=MBNqUPvfEMSL4gSpqYDgDQ&ved=0CAoQ_AUoAQ&biw=1920&bih=1011

[Retromaniac]

@Spiroslouis

Πρόκειτε για dictionary bruteforce,

To να μην έχεις ένα καλό captcha την σήμερον ημέρα αποτελεί κενό ασφαλείας με την ισχύ που έχουν πια οι υπολογιστές.

[elli xlni]

Ένα νέο' date=' σημαντικό κενό ασφαλείας ανακάλυψε χρήστης του Twitter το οποίο μπορεί να θέσει σε κίνδυνο τους λογαριασμούς των χρηστών του δημοφιλούς micro blogging site. Συγκεκριμένα ο χρήστης Daniel Dennis Jones αναφέρει ότι ο λογαριασμός του παραβιάστηκε και στη συνέχεια αλλάχθηκε το όνομα χρήστη του.Με αυτό τον τρόπο δίνεται η δυνατότητα στους χάκερς να τροποποιούν τα ονόματα των χρηστών, να δημιουργούν νέους λογαριασμούς με τους οποίους θα εγγράφονται με τα παραβιασμένα ονόματα και να τους πουλάνε. Ο Daniel όταν ανέκτησε την πρόσβαση στο λογαριασμό του είδε όλα του τα tweet να έχουν διαγραφεί, τον αριθμό των ατόμων που τον ακολουθούν να έχει μειωθεί σημαντικά, αλλά και το όνομα χρήστη του να έχει τροποποιηθεί, ενώ αυτό που χρησιμοποιούσε ήταν πλέον κατοχυρωμένο σε τρίτο λογαριασμό.

 

Οι περισσότερες ιστοσελίδες όταν αντιλαμβάνονται πολλαπλές αποτυχημένες προσπάθειες σύνδεσης χρηστών μαρκάρουν τους λογαριασμούς ως μη ασφαλείς ή εμφανίζουν μια εικόνα CAPTCHA στην οποία ο χρήστης πρέπει να πληκτρολογήσει το περιεχόμενό της. Το Twitter δε κάνει χρήση αυτής της λειτουργίας, αλλά όταν σημειώνονται πολλαπλές αποτυχημένες προσπάθειες σύνδεσης, απαγορεύει τις IP διευθύνσεις. Αυτό είναι εύκολο να προσπαραστεί από τους χάκερς ή κράκερς οι οποίοι έχουν να αντιμετωπίσουν λιγότερες δικλείδες ασφαλείας.

 

gizmodo.com