Contas do Bit.ly comprometidas! É hora de mudar as passwords
Os serviços web estão expostos e por isso são mais propensos a ataques. É inevitável e o resultado prático da sua presença na Internet. Não significa porém que sejam vulneráveis, mas essas situações acontecem.
A mais recente vítima de um ataque, bem sucedido, foi o serviço de encurtamento de link, o Bit.ly. Segundopublicaram no seu blog, este serviço foi alvo de um ataque onde foram roubados dados, mas as medidas necessárias foram já tomadas.
O alerta para o problema de segurança foi feito pela própria Bit.ly que no seu blog o anunciou, sem que no entanto tivesse entrado em detalhes sobre esse acesso não autorizado.
Segundo o que foi publicado existem fortes suspeitas por parte da Bit.ly que dados de várias contas foram roubados dos seus sistemas. Esses dados contemplam endereços de email dos utilizadores, passwords encriptadas, chaves de API’s e tokens OAuth.
A Bit.ly não tem qualquer informação sobre utilizações indevidas desses dados e tem estado a monitorizar constantemente os acessos para detectar situações de acesso não autorizados.
Para mitigar problemas que pudessem advir desse roubo de dados e da possibilidade de estes serem usados, a Bit.ly aplicou uma medida de segurança que revogou todos os acessos das contas de Facebook ou do Twitter.
Na prática isto significa que a associação entre essas contas e as contas Bit.ly foram mantidas, mas obrigará aos utilizadores que voltem a autenticar-se nesses serviços e voltem a autorizar o acesso.
Para além dessa medida, o Bit.ly recomenda a todos os utilizadores realizem um conjunto de passos que vão garantir que os dados que foram roubados deixem de poder ser usados.
Esses passos envolvem a mudança da chave da API e o token OAuth, a alteração da password e o voltar a ligar o Bit.ly às contas do Twitter ou ao Facebook.
Os passos necessários foram explicado pelo Bit.ly e estão apresentados abaixo:
- Log in to your account and click on ‘Your Settings,’ then the ‘Advanced’ tab.
- At the bottom of the ‘Advanced’ tab, select ‘Reset’ next to ‘Legacy API key.’
- Copy down your new API key and change it in all applications. These can include social publishers, share buttons and mobile apps.
- Go to the ‘Profile’ tab and reset your password.
- Disconnect and reconnect any applications that use Bitly. You can check which accounts are connected under the ‘Connected Accounts’ tab in ‘Your Settings.’
Se são utilizadores do Bit.ly então devem tomar já as medidas que foram aplicadas e garantirem a segurança da vossa conta e dos vossos dados.
O processo é simples e garante que os dados roubados não podem ser usados para publicarem em vosso nome nas redes sociais ou que alterem os links que têm já criados.
Estas falhas apesar de não serem desejadas ou normais acontecem e os utilizadores devem agir de imediato assim que as empresas as comunicam para estarem protegidos.
Fonte: PPlware
- Metasploit Framework de cabo a rabo – Parte 6 - 4 de junho de 2018
- Metasploit Framework de cabo a rabo – Parte 5 - 28 de maio de 2018
- CEH – Scanning Networks – Parte 2 - 24 de maio de 2018