image

Twitter-gebruikers werden na wachtwoordreset niet op alle apparaten uitgelogd

donderdag 22 september 2022, 12:32 door Redactie, 3 reacties

Gebruikers van Twitter die vrijwillig hun wachtwoord hadden gereset, bijvoorbeeld vanwege een beveiligingsincident, werden vervolgens niet uitgelogd op alle apparaten waar ze waren ingelogd, terwijl dit wel had gemoeten. Volgens Twitter veroorzaakte een bug in de code deze situatie. Vanwege veiligheidsredenen heeft Twitter nu besloten om alle gedupeerde gebruikers proactief van hun apparaten uit te loggen. Hoeveel mensen door de fout zijn getroffen is niet bekendgemaakt.

Twitter biedt gebruikers de optie om vanaf meerdere apparaten op hun account in te loggen. Wanneer deze gebruikers, bijvoorbeeld vanwege malware of een gecompromitteerd systeem besloten om hun wachtwoord op één systeem te wijzigen, bleven de sessies op de andere apparaten bestaan. De bug werd vorig jaar veroorzaakt in het systeem dat voor de wachtwoordresets bij Twitter verantwoordelijk is.

Twitter zegt dat het alle getroffen mensen die het kon identificeren heeft ingelicht en hen proactief heeft uitgelogd. "We begrijpen dat dit voor sommige gebruikers hinderlijk is, maar het was een belangrijke stap om je account tegen mogelijk ongewenste toegang te beschermen", aldus het platform in een blogposting.

Eerder dit jaar bleek dat een kwetsbaarheid in Twitter was gebruikt voor het stelen van de gegevens van 6,7 miljoen accounts. Daarnaast zorgde een oudere bug ervoor dat privéberichten voor derde partijen zichtbaar waren en bleek dat ook oudere Twitter-apps hier toegang toe hadden.

Reacties (3)
22-09-2022, 12:38 door Anoniem
De Android app bevat een "Apps and sessions" scherm die de sessies laat zien.
Dit scherm is echter een webview, en dit webview wordt gezien als los apparaat.
Als je Twitter alleen op Android gebruikt, dan zul je dus zoweleen Android als ook een onbekende "Web" sessie zien.
22-09-2022, 14:20 door Anoniem
Goh, toont maar weer aan dat Twitter en security niet samen gaat. https://www.security.nl/posting/765424/Voormalig+hoofd+security+Twitter+luidt+noodklok+over+beveiliging+van+platform

TheYOSH
22-09-2022, 14:57 door Anoniem
Kijk eens via nitter.it, inspirerend of niet? Twitter laat ik dus voor wat het is. ;)

https://nitter.it/search?f=users&q=password+reset

Het speelt dus nog verder en op vele plaatsen.

Random voorbeeldje met een s of z gespeld op het eind?: https://nitter.it/AuthAccountz

"Insecurity is like a plant, water it and it will grow".

Doei,

luntrus
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.