AP Twitter-hacken ber om ny titt på cybersäkerhetsbehov

Att bli hackad på Twitter blir snabbt en gång för stora företag, men tisdagens attack på Associated Press Press kan vara en tipppunkt och visar att sociala nätverk måste göra mer för att hålla sina användare säkra, säger säkerhetsexperter.

Bredare användning av tvåfaktorsautentisering, vilket kan innebära att en åtkomstkod skickas till en användare på en andra enhet som en smartphone, är en möjlig lösning. En sådan mekanism skulle kunna introduceras selektivt, säger vissa experter, för högprotokonton som kändisar och stora företag.

"Twitter måste gå ombord och göra tvåfaktorsautentisering tillgänglig … så fort som möjligt", säger Andrew Storms, direktör för säkerhetsoperationer vid nCircle Security.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

AP: s Twitter-konto hackades på tisdag morgon, vilket resulterade i en falsk tweetrapportering att det fanns "två explosioner i Vita huset och Barack Obama är skadade. " En grupp som kallar sig den syriska elektroniska armén hävdade ansvaret, via sitt eget Twitter-konto.

Tweeten var bara synlig för några minuter, men industrins genomsnitt för Dow Jones tog en näsdyk direkt efter att den var upplagd innan den återhämtades i flera minuter senare. Till skillnad från några tidigare hackningsincidenter, "hade den en verklig inverkan på marknaderna", noterade Steve Brunetto, chef för produkthantering på EdgeWave, ett socialt och e-post säkerhetsföretag.

AP ansluter sig till en lista över företag som har nyligen hackats på Twitter. Tre CBS-märken - 60 minuter, 48 timmar och en Denver-nyhetsaffär - blev kapade den här helgen. New York Times, Wall Street Journal och Washington Post har också blivit hackade de senaste månaderna. I februari meddelade Twitter att själva webbplatsen hade brutits.

Twitter-konton för Burger King och Jeep-bilföretaget har också äventyras. Efter dessa incidenter uppmanade Twitter användarna att vara smartare med sina lösenord och hur de använder webbplatsen.

Twitter har varit stort sett tyst efter tisdagens AP-attack. "Vi kommenterar inte enskilda konton för sekretess och säkerhetsskäl", sa en talesman. Men nu kan det vara den perfekta tiden för det sociala nätverket att använda starkare skyddsåtgärder för att förhindra framtida kontoöverträdelser, säger några experter. "

" "Twitter måste flytta snabbare när det gäller att intensifiera sina säkerhetsåtgärder", säger EdgeWaves Brunetto. Risher, VD på Impermium, ett Internet-säkerhetsföretag baserat i Redwood City, Kalifornien, sa att han tycker att Twitter redan tar säkerhet på allvar, men tisdagens attack gör "höj" bekymmer, sade han.

En strategi skulle vara för Twitter att genomföra en tvåstegs autentiseringssystem. I ett gemensamt genomförande, när användare loggar in på webbplatsen från sin bärbara dator, skulle Twitter skicka dem ett lösenord till en andra enhet, till exempel mobiltelefonen. De skulle då behöva ange den koden såväl som deras inloggning och lösenord för att komma åt webbplatsen.

Uppmanar Twitter att anta ett sådant systemuppfyllning när webbplatsen hackas, men AP-attacken kan bli en tipppunkt, säger nCircle s Stormar.

Om Twitter inte vill bemyndiga tvåfaktorsautentisering för alla konton, skulle företaget kunna kräva det endast för konton som passerar ett visst antal anhängare, föreslog han.

Tvåstegsverifiering kunde erbjudas till stora varumärken och andra framträdande konton, gick överens med Jon Oberheide, grundare och chefstekniker på Duo Security, som utvecklar autentiseringsprogram.

Men konton som använder tvåstegsautentisering kan fortfarande vara mottagliga om de som använder kontona utsätts för en email phishing attack, sade Impermiums Risher. "Hackaren kunde förfalska en inloggningssida där du frågade efter koden du just fått," sa han.

Alternativt kan en phishing-attack användas för att installera en knapptryckningslogger på en användares dator och registrerar deras inloggning och lösenord nästa gång de anger det.

Som ett alternativ bör Twitter och andra sociala nätverk titta närmare på hur användarna interagerar med sina tjänster och titta på signaler som kan indikera obehörig aktivitet, säger Risher, vars företag utvecklar algoritmer för att identifiera sådan verksamhet. Det kan se hur användare engagerar sig med innehåll och hur ofta de tweetar och är retweetade.

Twitter kan också använda en riskbaserad autentiseringsmetod genom att fråga användarna personliga identifieringsfrågor när de loggar in från en okänd dator, till exempel.

Användare kan dock göra mer för att skydda sina egna sociala medier. Använda starkare lösenord, ändra dem ofta och skydda Wi-Fi-nätverk med lösenord är alla rekommenderade metoder. Att ha ett svagt lösenord kan ha spelat en roll i AP: s kontoöverträdelse. Den syriska elektroniska armén tweeted det påstådda lösenordet "APm @ rketing" senare i eftermiddag.

Men onus borde vara på sociala medier för att säkerställa säkerheten för sina användares konton, sa Risher. "Det ska vara som en 80/20 split," sa han och tillade, "lejonens andel av arbetet ska göras av webbplatser."

Apple, Facebook och Google är bland de företag som redan erbjuder två steg autentisering som ett alternativ för användare.

Twitter är ett stort mål för överträdelser på grund av dess omedelbarhet, sade Obenhaim. En av Twitter: s främsta syften är att sprida information i nära realtid, till exempel, medan företagsidor på Facebook ofta är mindre aktiva.

Andra idéer som har blivit flytande för att hålla konton och identifierar säkra online inkluderar användningen av "fysiska" lösenord, som kan ha formen av ett smycke. I ett forskningsblad som släpptes i januari sa Google att de nuvarande strategierna, inklusive tvåstegs verifieringssystem, är otillräckliga.

Insatserna är höga när det gäller cybersäkerhet, som tisdagens börser visade. "Brand eller karaktärsskada är inte längre det enda resultatet", säger nCircle's Storms.

Att lägga in fiktiva tweets om outrageous beteende hos anställda på Burger King är en sak, men tweeting att presidenten har blivit skadad efter en explosion vid Vita huset "kan ha en allvarlig inverkan" i större utsträckning noterade Duos Oberheide.

Sådana hackar är också större eftersom USA: s värdepappers- och utbyteskommission sa att det skulle göra det möjligt för offentliga företag att avslöja viktig företagsinformation på sociala medier. SEC nekade att kommentera tisdag på AP: s och andra senaste Twitter-hackar.

Zach Miners täcker sociala nätverk, sök och generell tekniknyhet för IDG News Service. Följ Zach på Twitter på @zachminers. Zachs e-postadress är [email protected]