Twitter AP peretasan mendorong pandangan baru pada kebutuhan keamanan cyber

Meretas di Twitter dengan cepat menjadi ritus peralihan untuk perusahaan-perusahaan besar, tetapi serangan hari Selasa terhadap Associated Press Tekan bisa menjadi titik kritis dan menunjukkan bahwa jejaring sosial harus berbuat lebih banyak untuk menjaga keamanan pengguna mereka, kata pakar keamanan.

Penggunaan otentikasi dua faktor yang lebih luas, yang dapat melibatkan kode akses yang dikirim ke pengguna pada perangkat kedua seperti smartphone, adalah salah satu solusi yang mungkin. Mekanisme semacam itu dapat diperkenalkan secara selektif, kata beberapa ahli, untuk akun profil tinggi seperti selebritis dan perusahaan besar.

"Twitter perlu bergabung dan membuat otentikasi dua faktor tersedia … secepat mungkin," kata Andrew Storms., direktur operasi keamanan di nCircle Security.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Akun Twitter AP diretas Selasa pagi, menghasilkan tweet palsu yang melaporkan bahwa ada "dua ledakan di Gedung Putih dan Barack Obama terluka. " Sebuah kelompok yang menamakan dirinya Tentara Militer Suriah mengaku bertanggung jawab, melalui akun Twitter mereka sendiri.

Tweet hanya terlihat dalam hitungan menit, tetapi rata-rata industri Dow Jones langsung menyelam setelah diposkan sebelum pulih beberapa menit. kemudian. Tidak seperti beberapa insiden peretasan sebelumnya, "yang satu ini memiliki dampak dunia nyata di pasar," kata Steve Brunetto, direktur manajemen produk di EdgeWave, sebuah perusahaan media sosial dan keamanan email.

AP bergabung dengan daftar perusahaan yang baru-baru ini diretas di Twitter. Tiga merek CBS - 60 Menit, 48 Jam dan afiliasi berita Denver - dibajak pekan terakhir ini. The New York Times, The Wall Street Journal dan The Washington Post juga telah diretas dalam beberapa bulan terakhir. Pada bulan Februari, Twitter mengumumkan bahwa situs itu sendiri telah dilanggar.

Akun Twitter dari Burger King dan perusahaan mobil Jeep juga telah dikompromikan. Setelah insiden tersebut, Twitter mendesak pengguna untuk lebih pintar dengan kata sandi mereka dan bagaimana mereka menggunakan situs tersebut.

Twitter sebagian besar tetap tenang setelah serangan AP Selasa. "Kami tidak mengomentari akun individu untuk alasan privasi dan keamanan," kata seorang juru bicara. Tapi sekarang mungkin waktu yang tepat untuk jaringan sosial untuk menggunakan perlindungan yang lebih kuat untuk mencegah pelanggaran akun di masa depan, kata beberapa ahli.

"Twitter perlu bergerak lebih cepat dalam meningkatkan upaya cybersecuritynya," kata Brunetto dari EdgeWave.

Mark Risher, CEO di Impermium, sebuah perusahaan keamanan internet yang berbasis di Redwood City, California, mengatakan dia berpikir Twitter sudah mengambil keamanan dengan serius, tetapi serangan Selasa itu "meningkatkan" kekhawatiran, katanya.

Salah satu strategi adalah untuk Twitter untuk mengimplementasikan sistem otentikasi dua langkah. Dalam satu implementasi umum, ketika pengguna login ke situs dari laptop mereka, Twitter akan mengirim mereka kode sandi ke perangkat kedua, seperti ponsel mereka. Mereka kemudian harus memasukkan kode itu serta login dan kata sandi mereka untuk mengakses situs.

Panggilan untuk Twitter untuk mengadopsi sistem seperti itu muncul kembali setiap kali situs diretas, tetapi serangan AP bisa menjadi titik kritis, kata nCircle's Badai.

Jika Twitter tidak ingin mengamanatkan otentikasi dua faktor untuk semua akun, perusahaan hanya dapat meminta akun yang lulus sejumlah pengikut tertentu, sarannya.

Verifikasi dua langkah dapat ditawarkan. untuk merek besar dan akun terkemuka lainnya, disepakati Jon Oberheide, salah satu pendiri dan chief technology officer di Duo Security, yang mengembangkan perangkat lunak otentikasi.

Tapi akun yang menggunakan otentikasi dua langkah mungkin masih rentan jika mereka yang menggunakan akun tersebut tunduk pada serangan phishing email, kata Risher Impermium. "Peretas itu bisa memalsukan halaman log-in yang meminta Anda untuk kode yang baru saja Anda terima," katanya.

Atau, serangan phishing dapat digunakan untuk menginstal logger keystroke pada komputer pengguna, merekam login dan kata sandi mereka saat nanti mereka memasukkannya.

Sebagai alternatif, Twitter dan jejaring sosial lainnya harus melihat lebih dekat bagaimana pengguna berinteraksi dengan layanan mereka dan mengawasi sinyal yang mungkin menunjukkan aktivitas yang tidak sah, kata Risher, yang perusahaannya mengembangkan algoritma untuk mengidentifikasi aktivitas tersebut. Ini mungkin melihat bagaimana pengguna terlibat dengan konten dan seberapa sering mereka tweet dan retweeted, misalnya.

Twitter juga bisa menggunakan metode otentikasi berbasis risiko, dengan menanyakan pertanyaan identifikasi pribadi pengguna ketika mereka masuk dari komputer yang tidak dikenal, misalnya.

Pengguna dapat berbuat lebih banyak untuk melindungi akun media sosial mereka sendiri. Menggunakan kata sandi yang lebih kuat, sering mengubahnya, dan melindungi jaringan Wi-Fi dengan kata sandi adalah semua praktik yang disarankan. Memiliki kata sandi yang lemah mungkin telah memainkan peran dalam pelanggaran akun AP. Tentara Militer Suriah men-tweet kata sandi yang diduga "APM @ rketing" nanti siang ini.

Tapi tanggung jawab harus ada di situs media sosial untuk memastikan keamanan akun pengguna mereka, kata Risher. "Ini harus seperti split 80/20," katanya, menambahkan, "bagian terbesar dari pekerjaan harus dilakukan oleh situs."

Apple, Facebook dan Google adalah salah satu perusahaan yang sudah menawarkan dua langkah otentikasi sebagai pilihan bagi pengguna.

Twitter adalah target besar untuk pelanggaran karena kesegeraannya, kata Obenhaim. Salah satu tujuan utama Twitter adalah menyebarluaskan informasi dalam waktu dekat, misalnya, sementara halaman perusahaan di Facebook sering kurang aktif.

Ide lain yang telah dilayangkan untuk menyimpan akun dan mengidentifikasi online yang aman termasuk penggunaan "fisik" kata sandi, yang bisa berupa sepotong perhiasan. Dalam sebuah makalah penelitian yang dirilis pada bulan Januari, Google mengatakan strategi saat ini, termasuk sistem verifikasi dua langkah, tidak cukup.

Taruhannya tinggi ketika datang ke cybersecurity, karena pasar saham Selasa jatuh menunjukkan. "Pencemaran nama atau karakter bukan lagi satu-satunya hasil," kata nCircle's Storms.

Memposting twit fiktif tentang perilaku keterlaluan oleh karyawan di Burger King adalah satu hal, tetapi men-tweet bahwa presiden telah terluka setelah ledakan di Gedung Putih "Dapat memiliki dampak serius" secara lebih luas, Duo Oberheide mencatat.

Peretasan seperti itu juga lebih signifikan karena Securities and Exchange Commission AS mengatakan akan memungkinkan perusahaan publik untuk mengungkapkan informasi material perusahaan di situs media sosial.

SEC menolak berkomentar Selasa tentang AP dan hacks Twitter lainnya baru-baru ini.

Zach Miners mencakup jejaring sosial, pencarian, dan berita teknologi umum untuk IDG News Service. Ikuti Zach di Twitter di @zachminers. Alamat e-mail Zach adalah [email protected]