AP-hacket visar tyngden hos sociala medier

Tidig kväll. Plötsligt börjar en del twittra om att nyhetsbyrån APs Twitterkonto blivit hackat. Eller hackat och hackat – ska man vara ärlig så handlar det ju mer om att personer med automatiserat brute force, phishingmetoder (som det verkar varit i det här fallet) eller via social engineering kommer över kontot. Oavsett – de som tog över kontot lyckades skicka ut ett antal tweets bland annat ett som sa att Vita Huset blivit sprängd och Obama var skadad.

 

Förutom att det hela bygger på att snabbheten tagit över eftertänksamheten – och att vi har väldigt hög tilltro till att medier har rätt – som jag skriver om på SVTs debattwebb idag – så visar det här också två saker:

  • Twitter är en reell nyhetskälla. Det är där saker dyker upp först – och därmed blir ett sånt här hack oerhört allvarligt. Snabbheten innebär ofta att det hela får en snabb viral spridning som blir svår att kontrollera och stoppa. 
  • Twitter har för låg säkerhet – problemet med AP är att det dels är ett verified account – men i det här läget är helt utom kontroll. En sk två-faktorslösning behöver implementeras: exempelvis att du både behöver ett lösenord och verifiera inloggning via mail eller kod till mobiltelefonen.

Frågan om säkerheten på Twitter är en stående fråga men ju viktigare det blir för vår nyhetsinhämtning både primärt och som den källa som andra medier väljer att sätta sin tillit till desto mer akut blir den frågan. Det är inte länge sedan både Jeep och Burger King fick sina konton kidnappade och dagligen blir konton övertagna.

Att Twitter på många sätt är en viktig nyhetskälla visar den direkta dykning som Dow Jones gjorde när tweeten sändes ut. Det automatiserade höghastighetshandeln har uppenbarligen skapat olika snabba filter och direkt reagerade programmen på nyheten:

 

Det här är ännu ett bevis på att sociala medier för länge sedan är något som vi kan ta lite lätt på. Det är en del av vardagen och påverkar densamma oerhört mycket. Det innebär att företag som Twitter men också nya startups måste tänka mycket mer på såna här frågor och bygga in mycket större grader av säkerhet i systemen. Exempelvis måste man se till att support är bättre än ett gäng FAQ och ett forum. Mer och mer av vår nätnärvaro är också ekonomisk – vi handlar mer, vi använder delar av tjänster som vi betalar för och våra kontokortsnummer finns lagrade i databaser. Cyberbrottslighet är en av de stora frågorna framöver – inte bara för stater utan för många företag. Att råna en e-handel på deras kortuppgifter kan vara mindre farligt men minst lika lukrativt som att råna en bank.

Vi kommer se att två- eller multifaktorinloggning blir vanligare och vanligare liksom att det här ställer högre krav på open source-scenen eftersom många förlitar sig på system som bygger på kod skapad utanför de vanliga testmiljöerna. När så många av världens sajter exempelvis ligger på WordPress-plattformen är en svaghet i exempelvis inloggningssystemet ett stort hot, inte bara mot sajtägarna utan mot övriga internet.

Som kontoägare finns det viktiga säkerhetstänkanden:

  1. Säkra lösenord. Det räcker inte med att göra någon lite mer kryptisk form av sina barns namn och födelsedatum utan det krävs längre och gärna meningar. Testa inte dina befintliga lösenord mot diverse testplatser – de kan mycket väl användas för att samla in lösenord och förbättra olika hackerverktyg. 
  2. Säkra mailen. Förutom att inte klicka på länkar från olika banker mm eller liknande – använd spamfiltreringen aktivt. Och kommunicera säkerhet till företagets anställda. Sen det vanliga – skicka inte lösenord i klartext och fr a inte i samma mail som ett användarnamn.
  3. Logga inte in med dina sociala mediekonton om du inte är helt säker. Detta gäller fr a företagskonton. För även om det är mycket enklare att använda exempelvis Twitterkontot som autentisering så behöver du vara mycket säker på att du gör det på en tjänst som är valid. Detsamma gäller olika tjänster som utnyttjar APIer från dina konton.
  4. Var kritisk. Både mot erbjudanden om att logga in på olika platser men också mot saker som verkar för bra eller för förfärliga för att vara sanna. Även om en retweet av något som inte stämmer knappast hotar säkerheten av ditt konto så hotar det tilliten hos dina kunder.