maanantai 12. toukokuuta 2014

Suosittu linkkilyhennyspalvelu joutui tietomurron kohteeksi

Bit.ly logoHyvin suosittu Bit.ly -linkkilyhennyspalvelu on joutunut tietomurron kohteeksi, hakkerit saivat käsiinsä palvelun käyttäjätietokannan, Bit.ly kuitenkin uskoo että tietokannan tietoja ei ole päästy väärinkäyttämään.

Tietokannassa olevien käyttäjien salasanat eivät ole päässeet luettavassa muodossa rikollisten käsiin vaan ne ovat suojattu kryptauksin ja suolauksin. Kuitenkin sähköpostit ovat olleet luettavassa muodossa myös tässä tapauksessa joten jos jotakin tapahtuu niin sähköposteihin saattaa alkaa tippumaan entistä enemmän roskapostia sekä salasanan palautusviestejä, mikäli niitä yritetään käyttää väärin muissa palveluissa.

Salasana kannattaa joka tapauksessa käydä vaihtamassa Bit.lyn asetus-sivuilta.

Astetta vakavampi tilanne on kuitenkin bit.lyn käyttämissä OAuth avaimissa tai tokeneissa, jotka tunnistavat käyttäjän kolmannelle osapuolelle, esimerkiksi Twitterille tai Facebookille, kyseinen token on ollut myös tietokannassa ja päätynyt hakkereiden käsiin. Bit.ly toivoo että käyttäjät käyvät resetoimassa OAuth tokenin palvelun asetus-sivulla.

Bit.ly on myös kirjannut kaikki käyttäjät ulos Facebookista ja Twitteristä joten ne on käytävä tokenin resetoinnin jälkeen uudelleen yhdistämässä kyseisiin palveluihin, mikäli siis haluaa jakaa lyhentämänsä osoitteet palvelusta sosiaaliseen mediaan.

OAuthista löytyi jo viime viikolla vakava tietoturvavirhe jonka avulla OAuthin voi ohjata huijaussivulle ja siten kopioida käyttäjän tiedot kolmannen osapuolen palvelusta, bit.lyn tapaus ei kuitenkaan liity siihen sellaisenaan vaikka kaikki OAuth-kirjautumiset ovat tälle uudelleenohjaus virheelle altistuneita.

Toinen vakava uhka koskee Bit.lyn API-keytä jonka avulla kolmannen osapuolen sovellukset keskustelevat palvelun kanssa, esimerkiksi lähettämällä palveluun linkin lyhentämispyynnön, tätä hyödyntää esimerkiksi Twitterin Tweetdeck. APIlla voi pyytää myös bit.lyn statistiikkatietoja sekä muokata niitä. Myöskin tämä API-key joutui rikollisten käsiin ja sen voi OAuth tokenin tapaan käydä resetoimassa bit.lyn asetus-sivulta.

Niin OAuthia kuin myös API-Keytä on mahdollista hyödyntää, OAuthia ei tosin voi hyödyntää sellaisenaan vaan sen väärinkäyttäjän on pystyttävä joka tapauksessa kirjautumaan bit.lyyhyn jotta hän voisi hyödyntää siihen linkitettyjä palveluita uhrin tiedoilla.

API-Key on taas käytettävissä sellaisenaan, jos se päätyy rikollisiin käsiin, voi uhrin bit.ly statistiikan sotkea ja lisätä hänen linkkikirjastoon uusia linkkejä jotka voivat viedä niitä klikkaavat käyttäjät rikollisten käyttämiin verkkosivuihin joiden tarkoitus on levittää viruksia ja muita haittaohjelmia. Tämä on vakava uhka varsinkin heille jotka jakavat lyhentämänsä linkit julkisina ja pitävät linkkikirjastoaan kaikille nähtävillä.

Enemmän lisätietoja löytyy Bit.lyn blogista joka käsittelee asiaa: 1 sekä 2.

LÄHDE: Bit.ly