Nedávný hack účtu The Associated Press na Twitteru jasně ukázal na dva zásadní problémy. Prvním je to, že „zprávám“ z Twitteru není možné věřit (hacker oznámil na Twitteru dvě exploze v Bílém Domě a zranění Baracka Obamy). Druhým je to, že Twitter ani po mnoha a mnoha letech (a problémech) stále neposkytuje jiné zabezpečení účtu než heslo.
Přihlašovací jméno je tak jako tak známo, shoduje se s názvem účtu (nebo e-mailem, pod kterým je účet vytvořen). Případnému útočníkovi pak stačí už jenom získat heslo – v řadě případů prostým uhádnutím, ale možné jsou i další způsoby – slovníkový útok, odposlechnutí, podvržení software, které umožní heslo získat při přihlašování, sociální inženýrství (phishing/rhybaření například) atd.
Ochranu účtu na Twitteru komplikuje i to, že je nutné aby všichni, kdo účet používají, znali heslo. Twitter nenabízí možnost vytvářet uživatelské účty a přiřazovat je jako správce. A také nenabízí žádný dodatečný způsob ochrany, byť dvou-faktorovou autentizaci slibuje již delší dobu.
V souvislosti s posledními hacknutými účty amerických médií Twitter rozeslal médiím „doporučení“ týkající se zabezpečení účtu, ve kterém také varuje, že se domnívá, že útoky na významné účty budou pokračovat.
Bezpečný počítač je odpojený počítač
Doporučení jsou z řad obecně platných (měňte používané heslo, nikdy neposílejte heslo e-mailem, ani interně, používejte náhodně generované heslo nebo náhodné řetězce slov) či poněkud záhadných (doporučení minimálního počtu dvaceti znaků působí zvláštně). Twitter také doporučil používat některé z řešení na generování a správu hesel (1Password či LastPass).
Twitter ale také správně upozorňuje, že je nutné udržet bezpečný i e-mail spojený s účtem, protože ten slouží nejenom k přihlášení, ale také ke komunikaci v případě resetu hesla i pro další oficiální komunikace.
Praktické a užitečné je upozornění, že je nutné kontrolovat, jaké aplikace získaly přístup k účtu na Twitteru (viz twitter.com/settings/application). Osobně dodám, že v případě vyloženě „firemních“ účtů na Twitteru by k němu měly aplikace být připojeny pouze výjimečně a pouze takové, které jsou opravdu důvěryhodné.
Nejvíce absurdní je doporučení, aby noviny účet na Twitteru používaly z počítače, ze kterého se nepřistupuje na web ani do e-mailu, byť lze pohnutky Twitteru vedoucí k tomuto doporučení chápat.
Ne všichni jsou si na Twitteru rovni
V textu doporučení rozeslaném novinám (zde) je novinám zjevně poskytnuta i specifická e-mailová adresa, na kterou mohou hlásit hacknuté účty. Což je samozřejmě něco, čeho se „běžným smrtelníkům“ (ale nakonec ani firmám z jakési „České republiky“) nedostává.
Skutečnost je taková, že stávající systém přihlašování na Twitter je závislý čistě jen a pouze na tom, že dokážete mít dostatečně silné heslo a hlavně na tom, že toto heslo se nedostane do nepovolaných rukou. Neexistuje žádný mechanismus dodatečné (dvoufaktorové) autentizace ani varování před přihlášením z „nepovoleného“ zařízení (alespoň tak, jak to má Facebook). Není k dispozici ani žádný použitelný mechanismus pro rychlé získání hacknutého účtu zpět.
Zdroj: Twitter Warns Journalists: „We Believe That These Attacks Will Continue“