AP Twitter hack beder om nyt kig på cybersecurity behov

At blive hacket på Twitter er hurtigt ved at blive et passager for store virksomheder, men tirsdagens angreb på Associated Presse kan være et tippested og viser, at sociale netværk skal gøre mere for at holde deres brugere trygge, sagde sikkerhedseksperter.

Bredere brug af tofaktorautentificering, hvilket kan medføre, at en adgangskode sendes til en bruger på en anden enhed som en smartphone, er en mulig løsning. En sådan mekanisme kan introduceres selektivt, siger nogle eksperter, for højt profilerede konti som berømtheder og store virksomheder.

"Twitter skal komme ombord og gøre tofaktorautentificering til rådighed … så hurtigt som muligt", sagde Andrew Storms, direktør for sikkerhedsoperationer ved nCircle Security.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

AP's Twitter-konto blev hacket tirsdag morgen, hvilket resulterede i en falsk tweet, der rapporterede, at der var "to eksplosioner i Det Hvide Hus og Barack Obama er såret. " En gruppe, der kalder sig den syriske elektroniske hær, påberåbte sig ansvaret via deres egen Twitter-konto.

Tweetet var kun synligt i et par minutter, men Dow Jones industrielle gennemsnit tog et næse dykke umiddelbart efter at det blev bogført, før det blev genoprettet flere minutter senere. I modsætning til nogle tidligere hackingshændelser, "har denne haft en reel indflydelse på markederne", bemærkede Steve Brunetto, direktør for produktstyring hos EdgeWave, et socialmedie- og e-mail-sikkerhedsfirma.

AP tilsluttes en liste over virksomheder, der er for nylig blevet hacket på Twitter. Tre CBS-mærker - 60 minutter, 48 timer og en Denver-nyhedsforbund - blev kapret denne sidste weekend. New York Times, Wall Street Journal og Washington Post er også blevet hacket i de seneste måneder. I februar meddelte Twitter, at selve webstedet var blevet overtrådt.

Twitter-konti for Burger King og Jeep-bilfirmaet er også blevet kompromitteret. Efter disse hændelser opfordrede Twitter brugerne til at være klogere med deres adgangskoder og i, hvordan de bruger hjemmesiden.

Twitter har været stort set stille efter tirsdagens AP-angreb. "Vi kommenterer ikke individuelle konti for privatlivets fred og sikkerhedsmæssige grunde", siger en talsmand. Men nu kan det være den perfekte tid til det sociale netværk til at anvende stærkere sikkerhedsforanstaltninger for at forhindre fremtidige kontosbrud, siger nogle eksperter. "

" Markedsføring af kvidre skal ske hurtigere for at styrke cybersikkerhedsindsatsen, "siger EdgeWaves Brunetto. Risher, administrerende direktør hos Impermium, et internet-sikkerhedsfirma med hjemsted i Redwood City, Californien, sagde, at han mener, at Twitter allerede tager sikkerhed alvorligt, men tirsdagens angreb løfter bekymringer, sagde han.

En strategi ville være for Twitter at gennemføre en to-trins autentificeringssystem. I en fælles implementering, når brugere logger ind på webstedet fra deres bærbare computer, vil Twitter sende dem en adgangskode til en anden enhed, såsom deres mobiltelefon. De skal derefter indtaste den pågældende kode samt deres login og adgangskode for at få adgang til webstedet.

opfordrer til, at Twitter vedtager et sådant system, når webstedet er hacket, men AP-angrebet kan blive et tippunkt, sagde nCircle's Storms.

Hvis Twitter ikke ønsker at godkende tofaktorautentificering for alle konti, kunne virksomheden kun kræve det til konti, der passerer et bestemt antal tilhængere, foreslog han.

To-trinsbekræftelse kunne tilbydes til store mærker og andre fremtrædende konti, aftalte Jon Oberheide, medstifter og chefsteknolog ved Duo Security, som udvikler godkendelsessoftware.

Men konti, der bruger to-trins autentificering, kan stadig være modtagelige, hvis de, der bruger kontiene, udsættes for et email phishing-angreb, sagde Impermium's Risher. "Hackeren kunne falde en log-in side, der beder dig om den kode, du lige har modtaget," sagde han.

Alternativt kan et phishing-angreb bruges til at installere en tastetrykslogger på en brugers computer og registrere deres login og adgangskode, næste gang de indtaster det.

Som et alternativ bør Twitter og andre sociale netværk se nærmere på, hvordan brugerne interagerer med deres tjenester og se på signaler, der kan indikere uautoriseret aktivitet, sagde Risher, hvis firma udvikler algoritmer til at identificere sådan aktivitet. Det kan se ud på, hvordan brugere engagerer sig med indhold, og hvor ofte de tweet og retweetes.

Twitter kan også anvende en risikobaseret godkendelsesmetode ved at stille brugerne personlige identifikationsspørgsmål, når de logger ind fra en ukendt computer, for eksempel.

Brugere kunne dog gøre mere for at beskytte deres egne sociale medier. Brug af stærkere adgangskoder, ændring af dem ofte og beskyttelse af Wi-Fi-netværk med adgangskoder er alle anbefalede fremgangsmåder. At have en svag adgangskode kan have spillet en rolle i AP's konto brud. Den syriske elektroniske hær tweeted det påståede kodeord "APm @ rketing" senere i eftermiddag.

Men onus skal være på de sociale mediewebsteder for at sikre deres brugeres konti, siger Risher. "Det skal være som en 80/20 split," sagde han og tilføjede, "løvenes andel af arbejdet skal ske af webstederne."

Apple, Facebook og Google er blandt de virksomheder, der allerede tilbyder to trin godkendelse som en mulighed for brugere.

Twitter er et stort mål for overtrædelser på grund af dets umiddelbarhed, sagde Obenhaim. En af Twitter's primære formål er at formidle information i nær real tid, for eksempel, mens selskabssider på Facebook ofte er mindre aktive.

Andre ideer, der er blevet floated for at holde konti og identificerer sikkert online, omfatter brugen af ​​"fysisk" adgangskoder, som kunne have form af et smykke. I et forskningspapir, der blev udgivet i januar, sagde Google, at de nuværende strategier, herunder to-trins verifikationssystemet, er utilstrækkelige.

Statsniveauet er højt, når det gælder cybersikkerhed, da tirsdagens børsmarked viste sig. "Brand eller karakterkrænkelse er ikke længere det eneste resultat," sagde nCircle's Storms.

Postering af fiktive tweets om uhyrlig opførsel af medarbejdere hos Burger King er en ting, men det er en ting, at præsidenten er blevet såret efter en eksplosion i Det Hvide Hus "kan have en alvorlig indvirkning" mere bredt, bemærkede Duos Oberheide.

Sådanne hack er også mere betydningsfulde, da US Securities and Exchange Commission sagde, at det ville gøre det muligt for offentlige virksomheder at offentliggøre væsentlig corporate information om sociale medier. SEC nægtede at kommentere tirsdag på AP's og andre seneste Twitter hacks.

Zach Miners dækker sociale netværk, søgning og generel teknologi nyheder til IDG News Service. Følg Zach på Twitter på @ zachminers. Zachs e-mail-adresse er [email protected]