В Twitter знали о критической уязвимости

≡ Безопасность | Новости | 22.09.2010 12:13

Администрация Twitter знала о баге, ставшем причиной вчерашней массовой эпидемии, еще месяц назад, сообщается в официальном заявлении представителей блогхостинга. Уязвимость была закрыта, но во время последнего обновления «Твиттера» снова дала о себе знать.

Напомним, вчера во второй половине дня по московскому времени (и рано утром по времени калифорнийскому) пользователи Twitter начали массово заражать друг друга непонятной заразой, публиковавшей странные ссылки, переадресовывавшей с микроблогхостинга на порносайты и открывавшей сообщения на весь экран. Именно так широкой общественности стало известно о серьезной XSS-уязвимости – некий «хакер» с помощью неё запустил сценарии JavaScript, которые «заражали» пользователей, даже если они не щелкали ни на какие ссылки, а просто наводили курсор мыши на чье-то зараженное сообщение.

Первым, кто обнаружил уязвимость, стал японский разработчик
Масато Кинугава (Masato Kinugawa): он сообщил о ней 14 сентября, а потом зарегистрировал профиль Rainbow Twtr (в настоящий момент закрытый), раскрашивавший страницы других пользователей в разные цвета. Эта шутка быстро распространилась на множество аккаунтов, и другие умельцы стали использовать «дыру» для менее цветастых шуток – в том числе, для переадресации микроблогеров на порноресурсы.

Во время массовой эпидемии заразились только те, кто заходил в Twitter с веб-версии сайта – пользователи приложений и мобильной версии не пострадали. По данным «Лаборатории Касперского», под горячую руку беспощадного скрипта попали не менее полумиллиона человек. В настоящий момент дыру починили.

Интересно, что о существующей уязвимости в Twitter знали до эпидемии, и даже устраняли её – но она восстала из мертвых во время очередного обновления (не связанного с новым дизайном микроблогхостинга), и никто этого не заметил. Кстати, пользователи могут не бояться, что кто-то украл данные о них, и даже менять пароли совершенно не обязательно.

Стоит отметить, что микроблогхостинг Twitter атакуют с завидной регулярностью, как ради торжества искусства и показательных выступлений, так и в корыстных целях. Впрочем, иногда ресурс сам, без помощи со стороны хакеров, совершает необдуманные поступки – например, теряя тысячи сообщений пользователей, как это случилось в июне.

комментарии(0) |

разделы: Новости | Безопасность

Материалы по теме

Иранская кибер-армия хакнула Twitter
Twitter потерял тысячи твитов
Преступники управляют ботнетом через Twitter
Короткие ссылки: три проблемы