TweetDeck发现严重漏洞,应立即撤销访问

推特暂停了其TweetDeck应用的服务,起因是出现了一个严重的跨站脚本漏洞,并被攻击者大规模地加以利用。 据Mike Mimoso在Threatpost博客称,跨站脚本漏洞使得攻击者能够将代码注入网页或基于网页的服务,并由用户浏览器自动执行。网络黑客一旦成功执行跨站脚本攻击,即可远程注入代码,导致数据丢失或服务中断。 TweetDeck出现严重漏洞,用户应尽快撤销访问。 特别在TweetDeck的案例中,攻击者能够借用用户账户,发推、删除推文或破坏账户。漏洞利用代码可以在整个早上不停地发推,并成百上千次地自动转推。 “这一漏洞尤其能够在浏览器中将代码作为消息发推,只要你查看了这一消息,各种各样的跨站脚本攻击将自动运行,” Rapid7全球安全战略家Trey Ford告诉Threatpost博客。”我们目前看到的攻击是一种’蠕虫’病毒,能够通过创建恶意消息进行自我复制。它似乎主要影响用户Google Chrome浏览器的Tweetdeck插件。” 如果你使用TweetDeck,我们建议你尽快登录推特账户并撤销访问TweetDeck。 观看视频将告诉你如何进行正确的操作,只是你需要假装这一iOS 5应用是TweetDeck,因为在视频制作过程中使用了虚拟的账户,事实上并没有安装TweetDeck。

推特暂停了其TweetDeck应用的服务,起因是出现了一个严重的跨站脚本漏洞,并被攻击者大规模地加以利用。

据Mike Mimoso在Threatpost博客称,跨站脚本漏洞使得攻击者能够将代码注入网页或基于网页的服务,并由用户浏览器自动执行。网络黑客一旦成功执行跨站脚本攻击,即可远程注入代码,导致数据丢失或服务中断。

TweetDeck出现严重漏洞,用户应尽快撤销访问。

特别在TweetDeck的案例中,攻击者能够借用用户账户,发推、删除推文或破坏账户。漏洞利用代码可以在整个早上不停地发推,并成百上千次地自动转推。

“这一漏洞尤其能够在浏览器中将代码作为消息发推,只要你查看了这一消息,各种各样的跨站脚本攻击将自动运行,” Rapid7全球安全战略家Trey Ford告诉Threatpost博客。”我们目前看到的攻击是一种’蠕虫’病毒,能够通过创建恶意消息进行自我复制。它似乎主要影响用户Google Chrome浏览器的Tweetdeck插件。”

如果你使用TweetDeck,我们建议你尽快登录推特账户并撤销访问TweetDeck。

观看视频将告诉你如何进行正确的操作,只是你需要假装这一iOS 5应用是TweetDeck,因为在视频制作过程中使用了虚拟的账户,事实上并没有安装TweetDeck。

什么是双重认证?哪些情况下应该使用双重认证?

我们在播客中曾经录制过相关内容,在其中我们用了大量视频(我会在下面嵌入这些视频)详细讨论了双重认证。之前我们也在无数文章中间接提到过双重认证。但是抽时间专门写一篇文章来讨论双重认证的定义、工作原理和适用场景,这还是头一次。 什么是双重认证? 双重认证是许多在线服务提供商所提供的一种功能,它要求用户提供两种形式的认证,为用户的帐户登录过程额外上一道保险。第一种形式通常是密码。第二种形式可以是任意认证。可能最流行的第二重认证是短信或电子邮件验证码。双重认证背后的理论是:要进行登录,用户必须知道某项内容并掌握它。因此,为了访问公司的虚拟专用网,用户可能需要密码和U盘。 双重认证虽然不能保证帐户万无一失,但无论谁想入侵受双重认证保护的帐户,它都会是一个难以逾越的障碍。 双重认证虽然不能确保帐户万无一失,但无论谁想入侵受双重认证保护的帐户,它都会是一个难以逾越的障碍。我认为密码有众所周知的严重缺陷:简单的密码易记但也易破;而复杂的密码虽然难破,但也很难记住。为此,对创建密码不在行的用户会一再使用相同的密码。至少使用双重认证后,攻击者除了得破解密码外,还得有权访问第二重认证,而要取得第二重认证,就得窃取手机,或者入侵电子邮件帐户。 什么是双重认证,哪些情况下应该启用双重认证?#安全性#密码 人们总是频繁更换密码,但实际上没有什么用。根据目前的情况,良好的双重认证系统是用户所能获得的最佳保护。双重认证系统的另一个优点是用户能获知是否有人在盗用自己的密码。我之前可能说过无数次,如果手机或电子邮件帐户中收到双重验证码,但你并未尝试登录与其关联的帐户,则说明有人在盗用你的密码,正尝试入侵你的帐户。无论什么时候,一旦发现这种情况,请立即更改密码。 哪些帐户应该启用双重认证? 对于在什么时候,在哪些情况下应该启用双重认证,请遵循一个简单的规则:如果相关服务提供了双重认证,并且您认为帐户非常重要,则应该启用双重认证。那么Pinterest(世界上最大的一家图片社交分享网站)呢?我不知道,也许会启用吧。如果我有Pinterest帐户,我不太会愿意每次登录都麻烦地进行双重认证。但是,网银、主次电子邮件(尤其是如果具有专用帐户恢复电子邮件地址)、重要的社交网络(或许是Facebook和Twitter),当然还有AppleID或iCloud,或者任何用于控制安卓设备的帐户(如果有),所有这些都应该通过第二重认证进行保护。 点击此处观看视频。 显然,你还需要考虑是否要为任何工作相关帐户提供第二重认证。如果您是网站管理者,则会希望考虑锁定注册服务帐户,不管此帐户是WordPress、GoDaddy、NameCheap还是其他什么帐户。我们还建议为信用卡或借记卡关联的所有帐户启用双重认证:PayPal、eBay、eTrade等等。同样,启用双重认证的决定应该基于以下考虑:提供相应功能的任何帐户被盗会带来多大的破坏性。 有其他形式的双重认证吗? 目前为止,我们讨论的双重认证是向手机或电子邮件帐户发送验证码,或者通常将U盘与密码一起用于VPN访问。此外,还有钥匙串验证码生成器,例如RSA的SecureID,它一般用于企业环境。目前,这些是主流形式的双重认证。当然,还有其他形式的双重认证。 交易验证码(TAN)是略有些过时的第二重认证形式,在欧洲很流行,我本人实际从未使用过,但如果我的理解没错,此类验证的过程如下:银行会向您提供一张交易验证码表(印在纸上),每次进行网上交易时,都应输入其中一个验证码以进行验证。ATM机是另一种老式双重认证形式。必须同时拥有借记卡和知道PIN密码,方能取现。 最近的报告中有大量内容在讨论利用生物特征识别技术的双重认证。有些系统要求提供密码和指纹、虹膜扫描、心跳或其他一些生物手段。可穿戴设备的发展势头也逐渐增大。一些系统要求佩戴内嵌某种无线射频芯片的特殊手链或其他配饰。我还读到过可用于第二重认证的电磁纹身的相关研究报告。 Google和Facebook都推出了手机应用专用密码生成器,支持用户生成一次性密码,取代短信或电子邮件验证码。 点击此处观看视频。

提示