泄露的细节泄露

Bitly发布了有关 违反 使他们重置用户帐户凭据并断开所有用户的连接’Facebook和Twitter帐户 late last week:

周四凌晨,Bitly安全团队从另一家技术公司的安全团队获悉了Bitly用户凭据的潜在危害。我们立即以存在违约的假设开始运行,并开始搜索所有可能的危害向量。

在接下来的几个小时中,安全团队高度自信地确定没有外部连接到我们的生产用户数据库,也没有对我们的生产网络或服务器的任何未经授权的访问。他们观察到,来自非现场数据库备份存储的流量异常高,而Bitly并未发起该流量。在这一点上,很明显,最好的前进途径是假设用户数据库已遭到破坏,并立即启动我们的响应计划,其中包括保护用户的步骤’连接的Facebook和Twitter帐户。

我们审核了托管源代码存储库的安全历史记录,其中包含用于访问异地数据库备份存储的凭据,并发现了对员工的未经授权的访问’的帐户。我们立即对源代码存储库中的所有Bitly帐户启用了两因素身份验证,并开始了针对任何其他漏洞保护系统安全的过程。

该公司已采取许多步骤来减轻漏洞并提高安全性,包括轮换其异地存储系统的所有凭证,轮换所有SSL证书,对所有敏感凭证实施GPG加密,在公司范围内的所有第三方服务上实施两因素身份验证,并更新Bitly iPhone应用程序以支持更新的OAuth令牌。

那些想知道公司是否以明文形式存储密码的用户可以松一口气:“所有密码都是固定的和散列的。如果您在2014年1月8日之后注册,登录或更改了密码,您的密码将转换为使用唯一的盐与BCrypt和HMAC进行哈希混合。在此之前,它是盐腌的MD5,” the company 显露.

攻击者访问的数据中有用户’电子邮件地址,加密的密码,API密钥和OAuth令牌(位于非现场静态备份上)。违反没有’t affect the company’公司的生产数据库,网络或环境,使公司放心。

“不幸的是,这种违反有时会发生,但是它不应该’不被视为常规或可接受的事物,”卡巴斯基实验室拉丁美洲全球研究与分析团队主管Dmitry Bestuzhev评论道。

“现在最大的威胁是对于那些使用相同的Bit.ly密码和电子邮件地址的用户。必须立即更改它,并作为一般规则:绝不使用同一密码,也不要为多个服务使用相同的密码。”

他建议用户更改其bit.ly密码,然后转到Twitter并手动撤消对该帐户的bit.ly访问。

“完成后,您可以请求一个新的,” he notes. “最后,为您的电子邮件和Twitter帐户启用两因素身份验证。”

分享这个