AP Twitter-hack ber om nyhetssyn til cybersikkerhetsbehov

Å bli hacket på Twitter er raskt blitt et passord for store selskaper, men tirsdagens angrep på Associated Press Press kan være et tippepunkt og viser at sosiale nettverk må gjøre mer for å holde brukerne trygge, sier sikkerhetseksperter.

Bredere bruk av tofaktorsautentisering, som kan innebære at en tilgangskode blir sendt til en bruker på en annen enhet som en smarttelefon, er en mulig løsning. En slik mekanisme kan bli introdusert selektivt, sier noen eksperter, for høyt profilerte kontoer som kjendiser og store selskaper.

"Twitter trenger å komme om bord og gjøre tofaktorautentisering tilgjengelig … så fort som mulig," sa Andrew Storms, direktør for sikkerhetsoperasjoner ved nCircle Security.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

AP-kontoen i Twitter ble hacket tirsdag morgen, noe som resulterte i en falsk tweet som rapporterte at det var "to eksplosjoner i Det hvite hus og Barack Obama er skadet. " En gruppe som kalte seg den syriske elektroniske hæren hevdet ansvaret, via sin egen Twitter-konto.

Tweetet var bare synlig i løpet av få minutter, men Dow Jones industrielle gjennomsnitt tok et nesedyk umiddelbart etter at det ble lagt opp før det tok seg flere minutter seinere. I motsetning til noen tidligere hackingshendelser, "har denne en reell innvirkning på markedene," bemerket Steve Brunetto, direktør for produktadministrasjon på EdgeWave, et sosialt medie- og e-postsikkerhetsselskap.

AP går med i en liste over selskaper som har nylig blitt hacket på Twitter. Tre CBS-merker - 60 minutter, 48 timer og en Denver-nyheter-filial - ble kapret denne helga. The New York Times, The Wall Street Journal og The Washington Post har også blitt hacket i de siste månedene. I februar annonserte Twitter at selve nettstedet hadde blitt brutt.

Twitter-kontoene til Burger King og Jeep-bilfirmaet har også blitt kompromittert. Etter disse hendelsene oppfordret Twitter brukerne til å være smartere med passordene sine og i hvordan de bruker nettstedet.

Twitter har vært stort sett stille etter tirsdagens AP-angrep. "Vi kommenterer ikke individuelle kontoer for personvern og sikkerhetsgrunner," sa en talsmann. Men nå kan det være det perfekte tidspunktet for det sosiale nettverket å ansette sterkere sikkerhetstiltak for å forhindre fremtidige brudd på kontoen, sa noen eksperter. «

« Twitter trenger å bevege seg raskere når det gjelder å styrke cybersikkerhetsarbeidet, »sa EdgeWaves Brunetto. Risher, administrerende direktør i Impermium, et Internett-sikkerhetsfirma basert i Redwood City, California, sa han mener Twitter allerede tar sikkerhet alvorlig, men tirsdagens angrep gjør "løfte" bekymringer, sa han.

En strategi ville være for Twitter å implementere en to-trinns autentiseringssystem. I en felles implementering, når brukere logger inn på nettstedet fra sin bærbare, vil Twitter sende dem et passord til en annen enhet, for eksempel mobiltelefonen. De vil da trenge å skrive inn den koden, så vel som deres påloggings- og passord for å få tilgang til nettstedet.

Kaller Twitter for å vedta et slikt system, når nettsiden er hacket, men AP-angrepet kan bli et tippepunkt, sa nCircle s Storms.

Hvis Twitter ikke ønsker å godkjenne tofaktorautentisering for alle kontoer, kan selskapet bare kreve det for kontoer som passerer et bestemt antall tilhengere, foreslo han.

To-trinns bekreftelse kunne tilbys til store merkevarer og andre fremtredende kontoer, kom Jon Oberheide, medstifter og sjefteknolog ved Duo Security, som utvikler godkjenningssoftware, til.

Men kontoer som benytter to-trinns autentisering kan fortsatt være mottakelig dersom de som bruker regnskapene, blir utsatt for et e-post phishing-angrep, sa Impermiums Risher. "Hackeren kunne falle en innloggingsside og spør deg om koden du nettopp har mottatt," sa han.

Alternativt kan et phishing-angrep brukes til å installere en tastetrykklogger på en brukers datamaskin, og registrerer innloggingen og passordet neste gang de oppgir det.

Som et alternativ bør Twitter og andre sosiale nettverk se nærmere på hvordan brukerne samhandler med sine tjenester og se etter signaler som kan indikere uautorisert aktivitet, sa Risher, hvis firma utvikler algoritmer for å identifisere slik aktivitet. Det kan se på hvordan brukerne engasjerer seg med innhold og hvor ofte de tweet og blir retweetet.

Twitter kan også benytte en risikobasert autentiseringsmetode ved å spørre brukerne personlige identifikasjonsspørsmål når de logger på fra en ukjent datamaskin, for eksempel.

Brukere kan imidlertid gjøre mer for å beskytte sine egne sosiale medier. Bruk av sterkere passord, endring av dem ofte og beskyttelse av Wi-Fi-nettverk med passord, er alle anbefalte fremgangsmåter. Å ha et svakt passord kan ha spilt en rolle i AP-kontos brudd. Den syriske elektroniske hæren tweeted det påståtte passordet "APm @ rketing" senere i ettermiddag.

Men onus burde være på sosiale medier for å sikre sikkerheten til brukerens kontoer, sa Risher. "Det skal være som en 80/20 splitt," sa han og tilføyde, "løvenes del av arbeidet skal gjøres av nettstedene."

Apple, Facebook og Google er blant de selskapene som allerede tilbyr to trinn autentisering som et alternativ for brukere.

Twitter er et stort mål for brudd på grunn av sin umiddelbarhet, sa Obenhaim. En av Twitters primære formål er å formidle informasjon i nær sanntid, for eksempel, mens selskapssider på Facebook ofte er mindre aktive.

Andre ideer som har blitt floated for å holde kontoer og identifiserer trygt på nettet, inkluderer bruk av "fysisk" passord, som kan ha formen av et smykke. I et forskningspapir som ble utgitt i januar, sa Google at dagens strategier, inkludert totrinsbekreftelsessystemet, er utilstrekkelige.

Innsatsene er høye når det gjelder cybersikkerhet, da tirsdagens aksjemarked viste seg. "Brand eller karakterkrenkelse er ikke lenger det eneste resultatet," sa nCircle's Storms.

Postering av fiktive tweets om opprørende oppførsel av ansatte i Burger King er en ting, men tweeting at presidenten er skadet etter en eksplosjon i Det hvite hus "kan ha en seriøs innvirkning" mer bredt, bemerket Duos Oberheide.

Slike hack er også viktigere siden US Securities and Exchange Commission sa at det ville tillate offentlige selskaper å offentliggjøre viktig bedriftsinformasjon på sosiale medier. SEC nektet å kommentere tirsdag på AP og andre nyere Twitter hacks.

Zach Miners dekker sosialt nettverk, søk og generell teknologi nyheter for IDG News Service. Følg Zach på Twitter på @zachminers. Zachs e-postadresse er [email protected]