Proponha uma correção, faça uma sugestão
Contas do Bit.ly comprometidas! É hora de mudar as passwords
Os serviços web estão expostos e por isso são mais propensos a ataques. É inevitável e o resultado prático da sua presença na Internet. Não significa porém que sejam vulneráveis, mas essas situações acontecem.
A mais recente vítima de um ataque, bem sucedido, foi o serviço de encurtamento de link, o Bit.ly. Segundo publicaram no seu blog, este serviço foi alvo de um ataque onde foram roubados dados, mas as medidas necessárias foram já tomadas.
O alerta para o problema de segurança foi feito pela própria Bit.ly que no seu blog o anunciou, sem que no entanto tivesse entrado em detalhes sobre esse acesso não autorizado.
Segundo o que foi publicado existem fortes suspeitas por parte da Bit.ly que dados de várias contas foram roubados dos seus sistemas. Esses dados contemplam endereços de email dos utilizadores, passwords encriptadas, chaves de API's e tokens OAuth.
A Bit.ly não tem qualquer informação sobre utilizações indevidas desses dados e tem estado a monitorizar constantemente os acessos para detectar situações de acesso não autorizados.
Para mitigar problemas que pudessem advir desse roubo de dados e da possibilidade de estes serem usados, a Bit.ly aplicou uma medida de segurança que revogou todos os acessos das contas de Facebook ou do Twitter.
Na prática isto significa que a associação entre essas contas e as contas Bit.ly foram mantidas, mas obrigará aos utilizadores que voltem a autenticar-se nesses serviços e voltem a autorizar o acesso.
Para além dessa medida, o Bit.ly recomenda a todos os utilizadores realizem um conjunto de passos que vão garantir que os dados que foram roubados deixem de poder ser usados.
Esses passos envolvem a mudança da chave da API e o token OAuth, a alteração da password e o voltar a ligar o Bit.ly às contas do Twitter ou ao Facebook.
Os passos necessários foram explicado pelo Bit.ly e estão apresentados abaixo:
Following are step-by-step instructions to reset your API key and OAuth token:
- Log in to your account and click on 'Your Settings,' then the 'Advanced' tab.
- At the bottom of the 'Advanced' tab, select 'Reset' next to 'Legacy API key.'
- Copy down your new API key and change it in all applications. These can include social publishers, share buttons and mobile apps.
- Go to the 'Profile' tab and reset your password.
- Disconnect and reconnect any applications that use Bitly. You can check which accounts are connected under the 'Connected Accounts' tab in 'Your Settings.'
Se são utilizadores do Bit.ly então devem tomar já as medidas que foram aplicadas e garantirem a segurança da vossa conta e dos vossos dados.
O processo é simples e garante que os dados roubados não podem ser usados para publicarem em vosso nome nas redes sociais ou que alterem os links que têm já criados.
Estas falhas apesar de não serem desejadas ou normais acontecem e os utilizadores devem agir de imediato assim que as empresas as comunicam para estarem protegidos.
Homepage: Bit.ly
Este artigo tem mais de um ano
Loading ...
mais um serviço…a cair…
é anedotico. ainda o heartbleed bug?
toda a net vulnerável. que palhaçada.
Fogo, acabo de mudar a password do bitly anteontem e já tenho que pensar noutra nova outra vez. Esta treta das passwords tem mesmo que acabar, estamos a precisar de uma alternativa às passwords com muita urgência…
@Luna Wolf
Usa um gestor de passwords como o keepass, é a melhor solução enquanto não outras formas mais robustas de autenticação.
Neste momento estou a começar a experimentar com o passwordbox, um amigo meu recomendou-me, parece ser mesmo a única solução por agora. É mesmo muito complicado manter-se em dia estas passwords todas de outra forma! Só tenho medo de um dia os servidores onde estão as minhas passwords guardadas ir-se à vida e ficar tudo perdido :\
Podem experimentar o Password Bakery como alternativa a guardarem as passwords em algum lado. Foi uma ideia desenvolvida por mim e pelo meu irmão após o surgimento do heart bleed.
Por enquanto está disponível no site (http://passwordbakery.pt.vu), e app para android e windows phone.
Em vez de terem as passwords guardadas, o password bakery gera a vossa password sempre que necessitarem dela através de 2 ingredientes que inserem: o site (pode ser o nome do site em vez do url) e um ingrediente secreto escolhido por vocês, que pode ser a password antiga ou algo que decorem facilmente.
Experimentem!
Temos de pedir ao pplware para divulgar a aplicação na rubrica “As apps dos nossos leitores” para recebermos o vosso feedback.
Envia para divulga_apps@pplware.com 🙂
se acabarem com as contas fica tudo ok
Ainda bem que brevemente vai estar pronto, finalmente, o GRC “SQRL” (Secure Quick Reliable Login) gratuito (para utilizadores e sites), aquilo é basicamente um sistema de chave pública/ privada (Curve25519), tecnologia semelhante ao usado nos web sites, pgp, S/MIME e similares, e mesmo que roubem a chave pública dos clientes não adiantará de muito pois ainda não é possível quebrar esse nível de segurança: 128 bit. Em teoria até podem publicar as chaves públicas para toda a gente ver… não é aconselhado, mas podem.
O melhor de tudo: uma só senha, para todos os sites que suportarem o sistema, pois a senha é colocado no programa no dispositivo que utiliza e assina o que é enviado para os web sites a provar que é o legítimo utilizador com a chave privada correspondente. (Semelhante às assinaturas digitais do cartão do cidadão… mas muito mais seguro.)
Dá para criar infinitas sub-chaves para contas no mesmo web site, se quiserem, devido à forma como funciona só precisam de estar no web site e escolher o nome para a conta no próprio programa (que pode ser qualquer coisa que vos apeteça e que seja para vós adequado para se lembrarem) e voalá o resto funciona sozinho.
Será 100% seguro (dentro do possível…) quando alguém criar um dispositivo físico 100% dedicado só para essa função.