Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties

Zaterdagnacht zijn spammers binnengedrongen op een aantal populaire Twitter-accounts, waarna zij spamberichten de wereld in hielpen. Onder andere de accounts van PlayStation, Xbox Support en het Rode Kruis zijn slachtoffer geworden van de inbraak.

De bewuste spamberichten begonnen ergens in de nacht van vrijdag op zaterdag te verschijnen op Twitter, zo meldt onder andere Engadget. Elk van de getroffen accounts begon spamberichten te verspreiden waarbij methoden werden aangeprezen om meer Twitter-volgers te krijgen. De spammers hebben onder andere toegang gekregen tot @PlayStation, @Viacom, @Shazam, @XboxSupport, @NTSB, @TheNewYorker, @TheEconomist, @TheNextWeb, @Money en @ICRC, waarbij laatstgenoemde het account is van het Rode Kruis.

Vooralsnog is niet duidelijk wie er precies zijn binnengedrongen op de getroffen accounts, en welke methode zij hebben gebruikt. Wel bleek dat alle tweets zijn geplaatst via het Nederlandse bedrijf Twitter Counter. In een reactie aan Engadget laat het bedrijf weten de zaak in onderzoek te hebben. Met Twitter Counter, dat statistieken biedt, is het mogelijk om in te loggen via een Twitter-account; daardoor is de Nederlandse dienst mogelijk zelf slachtoffer geworden van een hack, waarna de indringers toegang kregen tot de gekoppelde accounts.

Het komt vaker voor dat prominente Twitter-accounts worden gehackt. Dat er tegelijkertijd meerdere accounts slachtoffer worden van hackers of spammers, komt minder vaak voor.

Twitter spammers

Moderatie-faq Wijzig weergave

Reacties (43)

Misschien niet geheel gerelateerd, maar over het binnendringen van Twitter-accounts: Ik heb afgelopen week een account aangemaakt met een nieuw wachtwoord welke ik nergens anders voor gebruik, en het is een vrij sterk wachtwoord. Nu kreeg ik gisteren een mailtje dat er was ingelogd op mijn account vanaf Safari op iPhone in Amsterdam. Nu woon ik in Zuid-Holland, en ik heb geen iPhone. Heb dus gelijk m'n ww maar weer aangepast, maar vraag me wel sterk af hoe dit kan?
Weet je 100% zeker dat het mailtje echt van Twitter afkomstig was?
Daar had ik niet over nagedacht, maar het is wel echt van Twitter. Link ging naar Twitter en ww is gewijzigd. Hoefde ook niet mn oude ww in te vullen ofzo.
Dat is dan wel verdacht; je moet wel je oude wachtwoord invullen op Twitter om hem aan te passen. Dus als dat niet nodig was zou ik de boel toch nog maar eens goed controleren. Sowieso nooit op dergelijke linkjes in mails klikken. Als je je wachtwoord wilt wijzigen ga je zelf naar https://twitter.com/ en log je daar in en pas je je wachtwoord aan. Links in e-mail nooit vertrouwen, tenzij je zelf de broncode van de mail bestudeerd hebt en zeker weet dat er niets raars mee aan de hand is. Cyrillische tekens in de URL, om maar eens wat te noemen.

[Reactie gewijzigd door MadEgg op 19 november 2016 10:31]

Ik ben verder geen beveiligingsexpert, maar het nieuwe password werkt, de link in de mail is een https naar verify.twitter.com en het is een password reset link die gestuurd is nadat er een verdachte inlog is geweest. Volgens mij hoef je je dan nooit je oude wachtwoord in te geven. Maar het blijft vreemd. ;)
verify.twitter.com bestaat niet - je krijgt een link van Twitter in e-mails een link naar https://twitter.com/redirect

Ik heb het net even getest (ik krijg bij élke login, en daarmee dus élk bezoek aan Twitter zo'n mailtje), en je kunt inderdaad middels dat linkje wat je krijgt zonder het ingeven van je oude wachtwoord je wachtwoord wijzigen. Eigenlijk niet heel raar, aangezien als je de wachtwoord-herstel-functie gebruikt je ook een mailtje krijgt met een dergelijke link.

In ieder geval blijft het advies staan: nóóit op linkjes mbt accountinformatie / wachtwoorden klikken tenzij je zelf expliciet om een dergelijk mailtje gevraagd hebt (zoals de wachtwoord-herstelfunctie), en dat mailtje dan ook nog binnen afzienbare tijd na dat verzoek aankwam (enkele minuten dus).

Als je je wachtwoord wilt aanpassen, gewoon zelf het adres intypen, zelf inloggen en vanuit daar je wachtwoord aanpassen. Op links in mails klikken is precies wat de phishers willen dat je doet.

[Reactie gewijzigd door MadEgg op 19 november 2016 11:41]

Achteraf was het ook een link met redirect, maar die gaat (dacht ik) uiteindelijk naar een linkje met verify erin. Je punt is in ieder geval duidelijk, het was dom om op dat linkje te klikken. Dat ben ik met je eens. Achteraf geluk gehad dat het geen phishing was. :)

[Reactie gewijzigd door matroosoft op 19 november 2016 16:35]

Ik had er laatst 1 van paypal. Moest ik pw bevestigen om deblokkade te regelen. Op het linkje geklikt en vervolgens een random emailadres ingevuld (eerste items die ik rond zag slingeren @djeemail.com) en een random buttonmash pw:

Login succesful! You're account has been validated. Vervolgens redirect naar officiële paypal site en die zei direct dat een van beiden niet klopte (uiteraard).

Mailtje was goed opgezet en goed vertaald. Domein naam bleek uiteindelijk paypaI.com te zijn. Dat is dus een hoofdletter "i" in plaats van lowercase "L".

Keurig netjes met https certificaat. Pas daar zag ik dat er iets niet klopte aangezien de eigenaar niet PayPal S.A.R.L. was zoals dat normaal wel het geval is op transacties en het officiele certificaat ofzo.

Is al weer een tijd geleden maar heb het toen gemeld. Domein is nu niet meer actief voor dat doel.
Juist, dat is het verneukeratieve, men leert nu nontechies dat he goed moet opletten of je een 'slotje' ziet, want dan is het goed. Maar de meeste nepsites werken inmiddels ook gewoon met certificaten, en is het "opletten op 'slotje'" gewoon zinloos. Beste is gewoon om zelf rechtstreeks naar de site te browsen, en dan je business te doen (tenzij bij een password reset oid je deze ook echt verwacht). Misschien zouden browsers automatisch ook de url moeten lowercasen, zodat gesjoemel dmv upper/lowercase niet zo makkelijk kan.
Dan heeft Youtube en iedere url shortener een enorm probleem.

Zij maken juist gebruik van het feit dat je 26 extra karakters per positie kan gebruiken. Met 6 posities is dat direct enorm vee mogelijkheden.
Opzich niet, het onderscheid tussen domein en argumenten achter / kunnen zowel servers als browser maken. Forceer domein lowercase en klaar.
Shortners moeten ze sowieso verbieden, dat zijn al helemaal nono's voor een 'veilig' internet, immers kun je aan een shortener niet zien waar die werkelijk naar toe gaat.
Voor de zekerheid heb ik even mijn wachtwoord aangepast op de site zelf (dus niet vanuit een mailtje) en dit was de flow:
https://twitter.com/settings/password (bevestig oud én nieuw)
https://twitter.com/setti...ssword_reset_confirmation (succesmelding)
https://twitter.com/settings/applications
(doorgeklikt om apps te reviewen)

Dus oud wachtwoord invoeren én een nieuwe die je tweemaal invoert. Achteraf ter bevestiging een e-mail ontvangen van password@twitter.com
Ja het is inderdaad vreemd . Waarom werkt je nieuwe ww dan? :? Als het niet van Twitter was. Snap het niet.
Dan hadden ze je wachtwoord nog niet en heb je zojuist je nieuwe wachtwoord weggeven.
Dan hebben ze toch een wachtwoord dat niet bij Twitter bekend is?
Tenzij je je oude wachtwoord moest invullen ter verificatie. ;)
"Twitter. Link ging naar Twitter en ww is gewijzigd. Hoefde ook niet mn oude ww in te vullen ofzo."
Lijkt me eerder op malware.
Oh dude. Bij dat soort mails nooit op de link klikken. Altijd naar de bron gaan en daar via de menuutjes je wachtwoord aanpassen.
Het Amsterdam aspect van dat bericht is niet zo zorgelijk. Ten minste, ik logde op een nieuw apparaat zelf in en kreeg meteen zo'n melding dat er vanuit Zwolle was ingelogd, meer dan 100km van me af. Ik heb het idee dat hun lokatie detectie zeer onzuiver is.

Het iPhone aspect terwijl je die niet hebt, kan ik niet verklaren.
Volgens mij is die lokatie gebaseerd op reverse IP lookup. Met een moniel apparaat zit er vaak een NAT intern en is jouw externe IP adres het ip van je provider en dat kan dus in zwolle, amsterdam of den haag oid zitten.

Amsterdam is op zich een logisch locatie aangezien daar een aantal datacentres staan.
Als ik via opera inlog op opera mini zit ik opeens in Ijsland. En natuurlijk heb ik dan het probleem dat ik niet in mijn account kan van microsoft. Ze vragen dan om een sms te sturen...

Heb geen 2 traps op mijn mailadres omdat ik anders als ik geen sms kan ontvangen of app kan gebruiken ik vast zit...

Maar als je inlogd vanaf een ander land zit de beveiliging er wel.

[Reactie gewijzigd door boonpwnz op 19 november 2016 17:52]

Waarschijnlijk omdat Opera een cache gebruikt, waardoor het voor de site lijkt dat je uit het datacentrum komt waar de cache draait.
Volgens mij heeft hij een Windows Phone.

Dus dan is de logica van Twitter als volgt;

Heeft de gebruiker een Android telefoon?

Nee.

Dan heeft hij een iPhone.
Foute interpetatie van headers of ingelogd op een appje bijvoorbeeld. Een 2 factor systeem (anders dan SMS) is natuurlijk altijd een goede optie, juist ook voor sites die er niet toe doen.
Het irritante bij Twitter is dat je je telefoonnummer en/of app maar voor 1 account kan gebruiken met 2FA. Althans zo was het voor lange tijd, heb je meerdere accounts heb je dus een probleem want je kan maar 1 account met 2fa beschermen tenzij je voor elk account een andere sim/telefoon hebt =/

Ik wou dat ze eens een keer over stapte op Authy of Google Authenticator packages - want dit is gewoon giga onhandig.
Ja ik vind het vooral raar omdat ze de bedrijven angle best hard pushen. Ik denk dat ze beetje last hebben van 'not invented here'. Ergens kan ik me ook wel voorstellen dat je je login systeem liever in house hebt natuurlijk, vooral als Google zelf concurrent is in messaging en (veel pogingen tot) social media kan ik snappen dat ze daar niet zo naar uitkijken. Een ander probleem met een standaard volgen (OAuth ofzo?) is dat als er een probleem in zit je kan wachten op een patch terwijl je kwetsbaar bent, of het uitzetten terwijl het kwetsbaar is of een eigen patch maken waardoor je niet standard compliant bent. Al die opties maken een slechte indruk op eindgebruikers.
Soortgelijk probleem hier. Account overgenomen door een russische. Zodra ik mijn account recoverde, was hij binnen een paar minuten weer in zijn handen. Dus toen maar mijn account laten verwijderen.
Dan heb je waarschijnlijk malware (keylogger bijv.) ergens op de achtergrond draaien als ze zo snel je wachtwoord weten (of je kiest steeds 'password1' en veranderd dan naar 'password2' enz :P)
Ik heb het gevoel dat de security op Twitter echt bagger is.
Ik had mijn twitter account paar jaar geleden verwijdert en was weer actief.
Iemand uit New York met een Nexus had er veel troep er op geplaatst, ik had mijn account toen weer verwijdert en het was weer actief en toen heb ik twitter opgegeven.
1: En ik heb geen Nexus, nooit 1 gehad.
2: Ik ben mijn hele leven binnen West-Europa

[Reactie gewijzigd door PandaBaby op 19 november 2016 10:41]

IP-naar-locatie databases zijn niet heel erg nauwkeurig; sterker: ik word vaak genoeg in A'dam "gedetecteerd" terwijl ik toch écht in Gemert (N.B.) zit. Ik zou me daar dus niet al te druk om maken mits je rond die tijd zelf ergens ingelogd hebt.

Maar wat ik nou niet snap is dat mensen er nog steeds voor kiezen geen extra factor (2FA) te gebruiken als ze de mogelijkheid hebben om hun account beter te beschermen. En die optie heb je anno 2016 echt bij veruit de meeste grote bedrijven als Twitter, FB, Google en ga zo maar door. Of het dan middels een SMS, TOTP of 'bevestiging middels een app' gaat boeit niet, maar daarmee sluit je wel uit dat 'kwaadwillenden' genoeg hebben aan alleen een wachtwoord (ja, tenzij de implementatie niet op orde is, maar dat is vers 2).

[Reactie gewijzigd door RobIII op 19 november 2016 16:05]

Ik kan me indenken dat Tweet Counter de tweets moet lezen, maar blijkbaar hebben ze wel iedereen het recht gegeven binnen hun app voor Write-rechten. Dat lijkt mij niet te moeten.
Goed punt, helaas ondersteunt de Twitter API slechts twee scopes voor user accounts: read en read/write. Mocht jouw applicatie dus ooit een simpele schrijf-operatie willen uitvoeren, kan je maar beter totale read/write access aan de user vragen.

https://dev.twitter.com/o.../post/oauth/request_token
> Overrides the access level an application requests to a users account. Supported values are read or write .
Kans is groot dat al die accounts die 'gehackt' zijn diverse tooltjes gebruiken. Gebruik sommige van deze tools ook zelf om in rap tempo echte volgers te krijgen via targeting trucjes. Maarja als het bedrijf gehackt wordt is het al snel klaar aangezien je van alles in moet vullen, zowel je twitter gegevens als je twitter app gegevens zoals consumer key etc.
Ik lees heel weinig over het gebruik maken van de twee-traps authenticatie op Twitter? Op elk apparaat waar ik voor het eerst inlog op Twitter, moet ik toch echt mijn telefoon bij de hand hebben om in te kunnen loggen?

Ook zinvol om eens in de zoveel tijd je 'permissions' van apps via Twitter na te kijken. https://twitter.com/settings/applications

[Reactie gewijzigd door Noxious Inc. op 20 november 2016 11:10]

Reputatieschade proberen te verhalen - da's het enige wat die bedrijven kunnen doen.
Van twitter wegblijven is ook geen optie - dus beveiligen met 2-factor authenticatie zeker?
Eigenlijk had twitter (en al die andere sociale zever) iets moeten voorzien waarbij een bericht vanuit een bedrijf een 2e goedkeuring nodig heeft. Dat kost dan wel iets meer - maar je houdt daarmee de spammers wellicht gewoon tegen.
Maar het zakelijk model van alle "sociale internetdiensten" is daar niet op voorzien - dat wordt eigenlijk hoogtijd dat men breder en veiliger gaat denken.
Hetzelfde met nep-nieuws - zoiets kan ernstige gevolgen hebben - men moet daar tegen ingaan. Mensen verkrijgen daardoor een oneerlijk voordeel - en dat kan zelfs met de huidige wetgeving vervolgd en bestraft worden.
Het leukste was toen Hello Games van No Man's Sky tweette:

"No Man's Sky was a mistake."

Ik ging helemaal stuk, jammer dat het hackers waren ;p
Wat ben ik blij dat ik geen advertentie kanalen volg op twitter zeg...
Wie bepaalt wat iemand wel of niet zou moeten gebruiken?.

Zo kan ik ook wel gaan ranten op iedereen die Facebook gebruikt, aangezien ik dat weer niet gebruik. Maar hé, ik gebruik wel weer Twitter(!).

Iedereen heeft zo zijn eigen methodes om informatie binnen te krijgen en/of te delen. Websites, Twitter, Facebook en zelfs, jawel, kranten of tijdschriften. En zolang iemand daar tevreden mee is, waarom moet je die persoon dan afvallen? Laat iedereen lekker gebruiken wat die zelf wil en maak je daar niet zo druk om. Ook beter voor je eigen bloeddruk ;)

[Reactie gewijzigd door ironx op 19 november 2016 10:40]

CNN, Mark Rutte, Geert Wilders, Tweakers, ik.


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True