В блоге Twitter в пятницу вечером появилось сообщение, согласно которому оператор сети микроблоггинга принудительно сбросил пароли для 250 000 блогов, после того, как автоматизированная система зафиксировала несанкционированные попытки доступа к пользовательской информации в Twitter.
Среди данных, которые интересовали хакеров, были адреса электронной почты и криптованные версии паролей. Отмечается, что атака была ориентирована на конкретную группу пользователей Twitter, в частности на самых ранних пользователей сервиса, а среди таких значится владельцы компании, ее менеджмент, инвесторы и работники. "Эта атака определенно дело рук продвинутых хакеров и мы практически уверены, что это не единственный инцидент", - говорит директор по информационной безопасности Twitter Роберт Лорд. "Атака была экстремально сложной, у нас также есть основания полагать, что ряд других огранизаций также были выбраны целями нападения".
Пользователям, чьи аккаунты оказались в прицеле хакеров, были высланы инструкции по смене паролей. В интервью Боб Лорд сообщил, что атака, судя по всему, была проведена при помощи фишинговой кампании через ряд мошеннических сайтов, в том числе и сайтов-подделок под Twitter.
В Twitter говорят, что атака связана с последней уязвимостью в среде Java, которая впервые была обнаружена еще пару недель назад. Данная уязвимость наделала немало шума, связанного с работой самой Java. Так, в начале этой неделе Департамент внутренней безопасности США заявил, что он рекомендует всем подведомственным ему структурам вообще запретить работу Java на компьютерах сотрудников. Компания Apple позавчера внесла Java в черный список нерекомендованных для запуска приложений, а в Mozilla заявили, что предстоящая версия браузера Firefox будет блокировать все браузерные плагины по умолчанию, в том числе и Java, Adobe Reader и Microsoft Silverlight. Исключение было сделано только для Adobe Flash Player.
Сама корпорация Oracle практически одновременно с заявлениями Twitter разослала экстренное сообщение о том, что выпустила новую версию Java 7 Update 13, которая уже доступна всем для бесплатного скачивания и где разработчик устранил почти 50 уязвимостей, включая и указанную высококритичную проблему. В Oracle говорят, что изначально планировали выпустить обновленную версию Java только в середине февраля, но поторопились с релизом, ввиду особой опасности бага.
На этой же неделе издания The New York Times и The Wall Street Journal сообщили, что подверглись целевым хакерским атакам, целью которых была закрытая журналистская информация и редакционные компьютеры репортеров, работающих по китайской тематике.
В Twitter говорят, что компания и в данный момент подвергается атаке и в ближайшие часы ее воздействие будет блокировано. Лорд говорит, что всем пользователям сети по-прежнему рекомендуется использовать только стойкие ко взлому пароли.