Twitter принудительно сбросил пароли к неизвестному количеству скомпрометированных в результате утечки аккаунтов после того, как данные около 32,8 млн учетных записей появились в продаже на подпольных маркетплейсах.

За многие из произошедших в последние недели утечек несет ответственность русскоязычный хакер под ником Tessa88, который и выложил данные пользователей Twitter в Дарквебе. Он также продал данные сервису LeakedSource, который предоставляет базу скомпрометированных учеток по подписной модели. В LeakedSource подтвердили, что в данный момент анализируют дамп Twitter, предоставленный Tessa88.

«После каждой из последних утечек мы сопоставляем полученные данные с уже имеющимися у нас записями. В результате мы выявили аккаунты Twitter, владельцам которых стоит беспокоиться, — заявил ИБ-специалист Twitter Майкл Коутс (Michael Coates). — Аккаунты, скомпрометированные в результате утечки, получат соответственное уведомление о необходимости сменить пароль».

Коутс заверил, что взлома Twitter не было и учетные записи, доступные для покупки на ресурсе exploit[.]im, были получены из других источников.

В LeakedSource предполагают, что в случае Twitter данные были похищены при помощи вредоносного ПО из кэша браузеров, где они хранились в незашифрованном виде. Источники в LeakedSource сообщили, что данные в дампе были незашифрованными, а так как Twitter давно шифрует учетные записи при помощи Bcrypt, высока вероятность прямой кражи учеток у пользователей.

«Рассмотрев имеющиеся доказательства, мы почти уверены, что эта теория верна. Мы учли различные типы вредоносных программ, и нам кажется, что в данном случае злоумышленники воспользовались RAT-троянцем, — заявили в LeakedSource. —  Обычно такие инструменты используются для проведения DDoS-атак на веб-сайты, но с их помощью также можно легко похитить учетные данные. Скорее всего, то же самое произошло с пользователями TeamViewer».

За последние годы Twitter существенно усилил безопасность: нанял «звезд» ИБ-отрасли на ключевые посты, а также приоритизировал переход на протокол HTTPS и использование PFS для обеспечения безопасности пользовательских сессий. Также сервис реализовал дополнительные меры защиты учетных записей: проверку местоположения пользователя, используемого устройства и поведенческих паттернов для выявления вредоносной активности. При появлении подозрений, по словам Коутса, аккаунт блокируется до тех пор, пока пользователь не сменит пароль.

«Если ваш аккаунт в Twitter был скомпрометирован (например, из-за утечки информации в Дарквеб), тогда вы уже должны были получить email-уведомление о необходимости сменить пароль, — пишет Коутс. — До тех пор пока вы не смените пароль, вход в аккаунт невозможен; таким образом, злоумышленники не смогут воспользоваться вашей учетной записью».

Twitter рекомендует клиентам полагаться на двухфакторную аутентификацию и устойчивые к взлому пароли, не использовать один и тот же пароль для нескольких аккаунтов и довериться менеджеру паролей.

Вместе с утечкой Twitter количество скомпрометированных за последние три недели аккаунтов на MySpace, Tumblr, LinkedIn, VK.com, iMesh и TeamViewer составило более 700 млн.

«Мы относимся к вопросам безопасности очень серьезно и расследуем инциденты по мере их появления, но пользователям также нужно относиться к безопасности своих паролей ответственно, — напомнил Коутс. — Мы всегда концентрируем усилия на улаживании проблем, представляющих собой реальную угрозу».

Категории: Кибероборона