Uppdatering 2019-08-31: Kompletterande information om potentiell attackmetod.
Under gårdagskvällen, svensk tid, började Twitter-kontot @jack twittra ut diverse obsceniteter. Det rörde sig om allt från sympatier för Nazityskland till kränkningar mot mörkhyade personer. Twitter-kontot i fråga tillhör dock inte något obetydligt troll. Det tillhör Twitters VD och medgrundare Jack Dorsey som har över fyra miljoner följare.
Kapade sociala medier-konton är ett återkommande problem. Angriparna lyckades troligtvis få möjlighet att twittra från Dorseys konto genom den Twitter-ägda appen Cloudhopper. Detta indikeras av metainformationen som anger vilken twitterklient som används. Om så var fallet var det alltså inte ett svagt lösenord eller avsaknad tvåstegsverifiering till Twitter i sig som möjliggjorde attacken. Då hade angriparna istället lyckats spoofa Dorseys mobilnummer eller lurat Dorseys mobiloperatör att ge dem ett SIM-kort med hans nummer, vilket i sin tur gjorde det möjligt för dem att SMS-twittra via Cloudhopper.
Detta påminner oss om att vara restriktiva med vilka appar och tjänster som vi ger tillgång till våra konton. Med anledning av incidenten uppmanar vi alla läsare att se över säkerheten på sina Twitter-konton (och gärna även övriga sociala mediekonton). En kortfattad version av dessa råd finns även i Aftonbladet.
1. Välj ett starkt lösenord
Öppna Twitter i din webbläsare, klicka på Inställningar och välj Konto följt av Lösenord (direktlänk). Välj ett långt och starkt lösenord. Använd med fördel en lösenordshanterare som Lastpass för att generera lösenordet och spara det på ett säkert vis. Undvik att använda samma lösenord på någon annan webbplats.
2. Aktivera tvåstegsverifiering
Växla över till fliken Säkerhet och klicka på Autentisering med två faktorer (direktlänk). Twitter använder tyvärr SMS för tvåstegsverifiering, vilket är den minst säkra metoden. Tvåstegsverifiering med SMS är dock bättre än ingen tvåstegsverifiering alls.
Twitter stödjer även tvåstegsverifiering via mobilapp (t.ex. Authy) och säkerhetsnyckel (t.ex. Yubikey). Problemet är att SMS inte går att välja bort, något som på så sätt ändå sänker säkerheten till SMS-nivå.
3. Ta bort onödiga appar och tjänster
Växla avslutningsvis till fliken Appar och sessioner (direktlänk). Rensa bort alla appar och tjänster som du inte använder längre. Tänk på att om en app skyddas med sämre säkerhet än ditt konto så sjunker den allmänna säkerhetsnivån till den minsta gemensamma nämnaren.
Mer information om hur sociala medier-konton bör skyddas finns i Bli säker-boken. Där finns också allmänna råd kring lösenordshantering och tvåstegsverifiering.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.