O Onion explica como sua conta no Twitter foi hackeada

Hackers que requisitaram a conta do The Onion no Twitter usaram ataques de phishing simples mas efetivos para obter senhas, de acordo com um artigo escrito pela equipe de tecnologia do editor.

O Exército Eletrônico Sírio (SEA) O presidente da Síria, Bashar al-Assad, também comprometeu contas proeminentes no Twitter, incluindo as da Associated Press, The Guardian, BBC e NBC News. The Onion, a paródia da mídia que se intitula "A melhor notícia da América" Source, "viu sua conta no Twitter assumida na segunda-feira. O Onion satirizou o hacking com uma história dizendo que havia mudado sua senha do Twitter para "OnionMan77".

[Leia mais: Como remover malware do seu PC Windows]

Mas a equipe de tecnologia da Onion escreveu um post sério sobre Quinta-feira explicando como ele perdeu temporariamente o controle da conta.

A AAE comprometeu as contas do Google Apps de cinco funcionários da Onion. O ataque começou por volta de 3 de maio com uma rodada de e-mails de phishing para alguns funcionários com um link para uma reportagem do Washington Post. Uma imagem mostrava que um dos e-mails parecia vir de um domínio pertencente ao Alto Comissariado das Nações Unidas para Refugiados.

O link do Washington Post, no entanto, era um ardil e redirecionou a vítima para uma falsa página de login do Google Apps. A equipe de tecnologia escreveu que pelo menos um funcionário entrou com suas credenciais.

Uma vez que a AAE tinha o controle de uma conta real, ela enviava mais e-mails de phishing para outros funcionários da Onion no dia 6 de maio. endereço confiável, muitos membros da equipe clicaram no link, mas a maioria se absteve de digitar suas credenciais de login ", escreveu o The Onion. "Dois membros da equipe entraram com suas credenciais, uma das quais tinha acesso a todas as nossas contas de mídia social".

A equipe de tecnologia do jornal avisou a todos que mudassem suas senhas de e-mail. Mas o invasor usou outra conta comprometida não descoberta para enviar um link de redefinição de senha. Foi realmente outra página de phishing.

Mais duas contas foram comprometidas por esse esforço, uma das quais permitiu que a SEA continuasse acessando sua conta no Twitter.

O Onion usou seu talento para sarcasmo para tentar descobrir qual conta estava comprometida. Ele publicou uma matéria, "O Exército Eletrônico Sírio se diverte antes das inevitáveis ​​mortes futuras nas mãos dos rebeldes", o que agravou os hackers, que começaram a postar no Twitter. Mas ainda não ficou claro.

"Depois que descobrimos isso, decidimos que não poderíamos saber com certeza quais contas foram comprometidas e forçamos uma redefinição de senha na conta do Google Apps de cada funcionário", escreveu The Onion.

O Onion disse que o ataque não foi complicado e poderia ter sido evitado com algumas medidas de segurança simples.

A equipe de tecnologia do jornal disse que os endereços de e-mail para as contas do Twitter devem ser armazenados em um sistema diferente do e-mail normal de uma organização. Contanto que as senhas sejam fortes, "isso tornará suas contas do Twitter virtualmente invulneráveis ​​ao phishing".

Além disso, o The Onion recomendou que os tweets passem por um aplicativo como o HootSuite, que impede o acesso baseado em senha às contas. O HootSuite usa o logon único e o OAuth, que usam tokens de sessão e segurança para autenticar usuários repetidos.