Google-CEO Sundar Pichai reiht sich lange Liste von prominenten gehackt von OurMine Gruppe
Für einige der Hacks auf Opfer, darunter Schauspieler Channing Tatum und Journalist Matthew Yglesias bitly Schuld, aber Unternehmen bestreitet Anfälligkeit
Google-CEO Sundar Pichai geworden die neuesten Promi Hacker Gruppe OurMine Sicherheit, offenbar aufgrund einer Sicherheitslücke in URL Verkürzung Service Bitly zum Opfer zu fallen.
Am Montagmorgen, twitterte Pichai die Nachricht: "Hey, es ist OurMine, wir sind nur Ihre Sicherheit Tests, aktualisieren Ihre Sicherheit besuchen Sie bitte unsere Website", und eine ähnliche Erklärung auf seine Quora gebucht. Es war ein paar Minuten später gelöscht, aber es den CEO in der Gesellschaft eine Reihe von anderen Prominenten, die von der gleichen Gruppe in den vergangenen Wochen gehackt habe.
Facebook CEO Mark Zuckerberg war eines der ersten Opfer des OurMine, Anfang Juni. Seine Twitter und Pinterest Accounts wurden gehackt, mit einem Tweet gesendet aus dem ehemaligen enthüllt, dass sein Passwort (offenbar "Dadada") in einer Datenbank von Nutzerdaten gestohlen von LinkedIn in 2011 gefunden wurde.
Seitdem hat die Gruppe andere gehackt einschließlich ehemaligen Twitter-Chef Dick Costolo (wer Nachrichten aus seinem Twitter und Pinterest Konten gebucht hatte), junge Erwachsene Schriftsteller Hank Green, Zuckerbergs Schwester Randi Zuckerberg und Schauspieler Channing Tatum.
Ein roter Faden bei einigen – aber nicht alle – die Hacks ist das Vorhandensein von Verkürzung Dienst Bitly Link. Als Journalist Matthew Yglesias am Samstag gehackt wurde, zum Beispiel kündigte OurMine ihren Erfolg mit dem jetzt standard "testen Ihre Sicherheit" Tweet.
Twitter API zeigt, dass Yglesias' Tweet, über Bitly, einen Link Verkürzung Dienst gesendet wurde, besonders beliebt war bei Twitter jedes Zeichen einer URL gegen die 140-Zeichen-Limit gezählt. Viele Twitterer, besonders diejenigen, die auf dem sozialen Netzwerk für eine lange Zeit gewesen haben die Berechtigung Lesen und schreiben, Tweets, und das scheint sich jetzt Fehlzündungen Bitly gegeben.
Als in gehackten Accounts veröffentlichten Nachrichten zu demonstrieren, OurMine Werbung für seine Hacks bauen will. Eines der Mitglieder der Gruppe macht einen Punkt, eine Benachrichtigung über jeden über Twitter direkt eine Nachricht zu senden, und erklärte, dass die Tatum-Hack, wie Yglesias, Bitly beteiligt.
"Wir gehackt sein Bitly und gab sein Passwort auf Gmail, und wir gehackt sein Gmail und wir prüften die gespeicherten Passwörter des Browsers und wir haben seine Twitter-Passwort", sagte die Hacker. "Wir haben eine Schwachstelle bit.ly." "
Bitly verweigern Sie jede Sicherheitslücke, aber stattdessen sagen, dass das Problem wieder, Passwort Wiederverwendung ist. "Wir kennen keine Bitly Sicherheitslücken," sagte das Unternehmen. "Wir eine sehr kleine Anzahl von Konten, die direkt über kompromittierte Anmeldeinformationen zugänglich waren identifizieren. Diese Konten hatten Benutzer Login-Daten, die in protokolliert wurden noch nicht, da wir gezwungen, die Stärkung unserer Passwort-Verschlüsselung und Anforderungen an die Festigkeit. Darüber hinaus haben sie nicht zwei-Faktor-Authentifizierung aktiviert."
"Da wir ständig unsere Technologie aktualisieren, um best Practices für die Sicherheit und die stärkste Verschlüsselungslösungen pflegen erinnern wir auch unseren Nutzern, um ihre Passwörter häufig aktualisieren verwenden sicherer Kennwörter, die schwieriger zu gefährden, sind wiederholen Sie keine Passwörter, die auf Bitly zuvor verwendet wurden oder mit einem anderen Dienst freigegeben wurden und schließlich um zu ermöglichen zwei-Faktor-Authentifizierung "Bitly hinzugefügt.
Bitly hat nicht jeder Hack beteiligt wie die Gruppe Angriff auf Mark Zuckerberg gezeigt. Ein ähnlicher Link zu Quora hat zur Kenntnis genommen, mit Pichai und Technologe Anil Dash sehen ihre Konten durch diesen Dienst getroffen. Die Angriffe sollten Alarmglocken auslösen, für Benutzer, die unsichere Konten, vielleicht wegen der schwachen oder wiederverwendete Passwörter zu wichtigen social Media Dienste wie Facebook und Twitter angebunden. Betroffene Nutzer können Integrationen mit verbundenen Unternehmen im Unterabschnitt "apps" von Twitter und Facebook-Einstellungen deaktivieren.