Twitterujący hakerzy wygrali bitwę o nasze bezpieczeństwo
 Oceń wpis
   

Społeczność programistów, niezarządzana przez żadną firmę w całkowitej tajemnicy zorganizowała się i błyskawicznie zlikwidowała zagrożenie. Błąd dotyczył m.in. użytkowników Google, Yahoo, MySpace, Twittera.

Użytkownicy korzystający z serwisu Twitter mieli od poprzedniego piątku (16.04) problemy z korzystaniem z aplikacji wykorzystujących metodę korzystania z danych użytkownika za pośrednictwem technologii OAuth.

OAuth to popularna, oparta na otwartym protokole, metoda pozwalająca zewnętrznym aplikacjom na dostęp oraz interakcję z danymi przypisanych do konta użytkownika. Zaletą OAUth jest to, że użytkownik nie podaje aplikacji swojego hasła do serwisu, w którym znajdują się dane. Oprócz twittera OAuth można wykorzystywać w 28 serwisach internetowych, w tym Google, MySpace oraz Yahoo. Dzięki OAuth aplikacje zaakceptowane przez użytkownika mogą korzystać z zabezpieczonych hasłem danych.

Twitter zebrał z tego powodu cięgi, zwłaszcza, że wyłączył logowanie OAuth bez ostrzeżenia i bez żadnych wyjaśnień, jednak całkiem niesłusznie. Była to bowiem operacja naprawiania luki bezpieczeństwa (implementacje OAuth pozwalały na zafiksowanie sesji użytkownika). W grę wchodziły dane milionów użytkowników korzystających z serwisów z włączoną OAuth.

Naprawa luki wymagała współpracy wszystkich serwisów, oraz społeczności deweloperów aplikacji używających OAuth. Na dodatek, cala operacja wymagała dyskrecji wszystkich zaangażowanych. Gdyby informacja o błędzie przedostała się do publicznej wiadomości przed poprawkami, wystarczyłoby, aby przestępcy namówili użytkowników do skorzystania z ich aplikacji - dane z kont stanęłby dla nich otworem.

Eran Hammer-Lahav, odkrywca błędu powiadomił o nim najpierw Alexa Payne zajmującego się API twittera. Twitter błyskawicznie wyłączył OAuth dla swoich użytkowników. Przez 48 godzin, podczas których kontaktowano się z innymi serwisami (w czym wielce pomogło odbywające się w weekend spotkanie Social Web FooCamp 2009, na którym był zarówno Eran, jak i przedstawiciele większości zainteresowanych) panowała kompletna blokada informacji. Deweloperzy odłączonych aplikacji nie wiedzieli co się dzieje. Branżowe blogi i fora gubiły się w domysłach i oskarżeniach.

Dopiero w środę (22.04) serwis CNET poinformował, że przerwa w działaniu OAuth ma związek z luką bezpieczeństwa. Ponieważ poprawki nie były jeszcze wdrożone Carolyn McCarthy powstrzymała się od omawiania charakteru zagrożenia. McCarthy uczestniczyła w FooCamp, jednak dotrzymała ustalonej daty blokady informacji. Po jej artykule wyjaśnienia pojawiły się też na oficjalnym blogu twittera, oraz stronach OAuth. Pełny opis błędu można znaleźć na blogu jego odkrywcy. Całą historię świetnie opisał też RWW.

Z mojego punktu widzenia najważniejsze, co widać w tej historii to szybkość reakcji i efektywność działania społeczności zgromadzonej wokół serwisu Twitter oraz spotkań "campowych". Dzięki nieformalnym więziom i zaufaniu jakie udało się stworzyć na campach i przez mikroblogosferę, można było szybko i dyskretnie działać.

Myślicie, że polski blip i barcampy też by dały radę?

Komentarze (2)
Skype jak gołąb pocztowy, czyli... Prawdziwe odpowiedzi:...

Komentarze

2009-04-27 01:11:09 | *.*.*.* | 3v11
Re: Twitterujący hakerzy wygrali bitwę o nasze bezpieczeństwo [1]
Cholernie dużo błędów w tym artykule (na szczęście tylko w formie).
No ale to chyba wina pośpiechu/braku edytora tekstu.
Twitter to dla mnie masakrycznie dziwaczna rzecz. Jak ludzie mogą w ten sposób
obnażać się przed całym światem?
A potem narzeka sie na brak prywatności...
Do tego bardzo zdziwił mnie fakt że tak dużo 'gwiazd' ma Twittera.
Britney Spears, Aschton Kutcher, Demi Moore, Lance Armstrong, nawet Snoop Dog.
Takie wycianiącie ręki do tłumu? 'Patrzcie na nas, my też jesteśmy interaktywni, też
prowadzimy zwyczajne życie, tak jak wy'.
Nie wyobrażam sobie czegoś takiego w Polsce. skomentuj
2009-04-28 13:27:19 | 217.172.242.* | asdgftryfhgj
>Nie wyobrażam sobie czegoś takiego w Polsce.
Na pewno nie teraz - poczekaj na polskiego Twittera. Twitter i Blip to jak Facebook i
Nasza-klasa. Jakbym był sławny to wolałbym mieć konto na Facebooku niż na NK ;] skomentuj
Ankieta
Co stanie się z telewizorami?
Zostaną wyparte przez komputery PC
Przejmą funkcje komputerów PC
Razem z PC znikną z rynku
Będą się rozwijać niezależnie od komputerów
Nie mam zdania na ten temat
Mam inne zdanie (komentarz pod wpisem)
O mnie
Piotr Wrzosiński
Piotr Wrzosiński
Najnowsze wpisy
2011-10-03 10:41 W zeszłym tygodniu pod nowym adresem
2011-09-25 18:20 Minął kolejny tydzień
2011-09-19 11:07 Podsumowanie tygodnia
2011-09-12 13:37 Przedruk i przeprowadzka
2011-09-02 17:36 Wybierz swój e-book!
Najnowsze komentarze
2015-02-24 18:33
KamilDawid:
Minął kolejny tydzień
Mam nadzieje, że to nie będzie koniec bloga. Zapraszam
2014-10-08 04:36
Thank you:
Nie ukradliśmy tego HTC z Windows Mobile. Serio.
Thank you http://gamesfree4flash.blogspot.com/[...]
2014-10-08 04:34
Thank you:
Nie ukradliśmy tego HTC z Windows Mobile. Serio.
Thank you http://downloadgamesair.blogspot.com/[...]