20:15
11/5/2014

Dość popularna usługa pozwalająca na skrócenie długiego URL-a poprosiła swoich użytkowników, aby zmienili hasła, zresetowali klucze API i tokeny OAuth. Bit.ly zostało zaatakowane …ale odmawia publikacji szczegółowych informacji na temat incydentu. Nie wiadomo więc, z jakiej podatności skorzystali włamywacze już wiadomo, szczegóły niżej.

Co można zrobić z czyimś kontem bit.ly?

Z pozoru wydawać by się mogło, że nawet jeśli ktoś przejmie czyjeś konto na bit.ly, to nic złego nie powinno się stać — najwyżej skasuje kilka linków. Bit.ly jest jednak często wykorzystywane do automatycznego skracania linków w sieciach społecznościowych (korzystają z niego także znane marki) — w tym celu użytkownicy często łączą swoje konta bit.ly z Facebookiem lub Twitterem, i to, czyli możliwość opublikowania treści na czyimś popularnym profilu na Facebooku lub Twitterze — jest w zasadzie największym zyskiem z ewentualnego przejęcia czyjegoś konta.

Do czego może doprowadzić niewinne twitnięcie? Pisaliśmy już o tym w kontekście fałszywej informacji na temat zamachu na prezydenta Obamę, która pojawiła się na przejętym koncie agencji Associated Press i spowodowała krach na giełdzie. Ofiarą żartownisi padły też fanki Justina Biebera, na którego Twitterze ktoś opublikował link do złośliwego oprogramowania.

Na chwilę obecną brak jakichkolwiek sygnałów, aby któreś z kont użytkowników bit.ly zostało przejęte i wykorzystane do dalszego ataku w sieciach społecznościowych. Jeśli jednak macie konto na bit.ly, na wszelki wypadek zmieńcie hasło — zwłaszca, że bitly nie ujawniło jak były hashowane hasła (a nawet użyło słowa “zaszyfrowane” co może sugerować, że skorzystano z kryptografii symetrycznej, podobnie jak było to w przypadku Adobe).

Jak doszło do włamania?

Jak informuje Bit.ly, o włamaniu dowiedzieli się od zewnętrznej firmy. Analiza wykazała, że intruz uzyskał dostęp do serwera z backupem bazy dzięki nieautoryzowanemu dostępowi do konta jednego z pracowników. Dopiero po tym fakcie Bit.ly zdecydowało się wdrożyć dwuskładnikowe uwierzytelnienie. Dodatkowo, z nowego posta dowiadujemy się, że hasła były jednak hashowane (BCrypt), a nie “szyfrowane”.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

12 komentarzy

Dodaj komentarz
  1. Mialem identyczne haslo na allegro i konto na allegro tez przejete.

    • screen or didn’t happen

  2. Podali więcej szczegółów wczoraj: http://blog.bitly.com/post/85260908544/more-detail

  3. Na bit.ly nie można kasować linków

  4. Dlatego właśnie szyfruje się wszystkie backupy, np. przez GPG. Z automatu umożliwia to np. obnam. Na serwer zdalny wrzuca się już zaszyfrowane pliki a klucze GPG trzyma w bezpiecznym miejscu. Tym sposobem nawet jak ktoś dostanie się na serwer z backupami może sobie najwyżej zagwizdać ze szczęścia.

    • A co to ma z bit.ly wspólnego?

  5. Panowie, trwa atak na telefon, laptop i blog Korwina
    Pomóżcie chłopu jeśli sympatyzujecie z KNP.

    • Nie.

    • Tak.

    • Pomidor.

    • Nie.

Odpowiadasz na komentarz Karol

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: