A Szövetségi Kereskedelmi Bizottság (FTC - Federal Trade Commission) nyilvánosságra hozta annak a két vizsgálatának az eredményeit, amelyeket a Twitter két, még 2009-ben bekövetkezett adatbiztonsági incidensének kapcsán indított. Kiderült, hogy a káros eseményekhez nagymértékben hozzájárult a Twitter nem megfelelő biztonsági szabályozása, és az előírások be nem tartása. Az FTC szerint a népszerű webes szolgáltatás üzemeltetői elsősorban a jelszavak valamint az azokat kezelő rendszerek esetében nem biztosították azt a védelmi szintet, amely elvárható lett volna. Ez oda vezetett, hogy a Twitter adminisztrátorai szótáralapú módszerekkel viszonylag könnyedén visszafejthető jelszavakat használtak, amelyeket több esetben titkosítatlanul küldözgettek elektronikus levelekben. Emellett az adminisztrációs felület brute force alapú támadásokkal szemben védtelen volt, mivel a sikeretlen belépések számát senki és semmi nem korlátozta.
A két incidens
Az FTC vizsgálatai egy tavaly januári és egy áprilisi incidensre terjedtek ki. A januári eset elemzése során a szakértők megállapították, hogy a támadó egy automatizált eszköz segítségével, több ezer belépési kísérlet után (szótáralapú technikákkal) megfejtette a Twitter egyik adminisztrátorának jelszavát. Ezt követően számos felhasználó hitelesítő adatát módosította, majd mások nevében üzeneteket kezdett küldözgetni. Ekkor Barack Obama, a Fox News és egyéb szervezetek Twitter fiókja is áldozatul esett. Obama Twitter oldalán egy 500 dolláros nyereménnyel kecsegtető játék hirdetése jelent meg, amely így több mint 150 ezer felhasználóhoz jutott el.
Az áprilisi incidens során szintén jelszavakkal élt vissza egy hekker, aki a Twitter egyik munkatársának személyes postafiókjához tartozó jelszavát szerezte meg. Mivel azonban ez a jelszó azonos volt az adminisztrációs felületen használt hitelesítő adattal, ezért a támadónak nem volt nehéz dolga bejutni a Twitter rendszerébe sem. A hekker ezt követően felhasználói információkhoz férhetett hozzá.
"Amikor egy cég azt ígéri a felhasználóinak, ügyfeleinek, hogy a személyes adatokat biztonságban tartja, akkor az ígéretét be kell tartania. Attól, hogy a felhasználók közösségépítő weboldalakon megosztanak magukról információkat, még joguk van ahhoz, hogy elvárják a személyes adataik bizalmas és biztonságos kezelését." - mondta David Vladeck, az FTC fogyasztóvédelemért felelős igazgatója.
"Mi egy támadás áldozatai vagyunk, melynek során felhasználói fiókokhoz történt jogosulatlan hozzáférés. A januári eset után néhány órával befoltoztuk a biztonsági rést, és értesítettük az érintett felhasználókat, majd még ugyanazon a napon a blogunkon beszámoltunk a történtekről. Áprilisban pedig a támadás után 18 perccel eltávolítottuk a kompromittált adminisztrátori fiókot, és értesítettük a az érintett regisztrált tagokat. Az incidens vizsgálatának eredményeiről néhány nappal a történtek után szintén hírt adtunk a blogon." - mondta Alexander Macgillivray, a Twitter ügyvédje.
A Twitter vállalásai
A Twitter az FTC vizsgálatait követően megegyezett a szervezettel, és kijelentette, hogy a jövőben szigorúbb biztonsági szabályokat hoz, valamint azok betartatására is ügyel (beleértve a jelszókezelést, az adminisztrációs felület fokozott védelmét, a jelszavak titkosított kezelését, stb.). Emellett vállalta, hogy egy biztonsági programot hoz létre, amelynek keretében független auditorok bevonásával rendszeresen fogja felülvizsgáltatni a rendszereit. Alexander Macgillivray hozzátette, hogy a Twitter a vállalt kötelezettségei, illetve az FTC ajánlásai közül jó néhányat már teljesített.
A hír a Computerworld biztonság rovatában jelent meg.
