В Twitter знали о критической уязвимости

топ 100 блогов liome_stanvi — 28.11.2010 В Twitter знали о критической уязвимости

Администрация Twitter знала о баге, ставшем причиной позавчерашней массовой эпидемии, еще месяц назад, сообщается в официальном заявлении представителей блогхостинга. Уязвимость была закрыта, но во время последнего обновления «Твиттера» снова дала о себе знать.


Напомним, вчера во второй половине дня по московскому времени (и рано утром по времени калифорнийскому) пользователи Twitter начали массово заражать друг друга непонятной заразой, публиковавшей странные ссылки, переадресовывавшей с микроблогхостинга на порносайты и открывавшей сообщения на весь экран. Именно так широкой общественности стало известно о серьезной XSS-уязвимости - некий «хакер» с помощью неё запустил сценарии JavaScript, которые «заражали» пользователей, даже если они не щелкали ни на какие ссылки, а просто наводили курсор мыши на чье-то зараженное сообщение.


Первым, кто обнаружил уязвимость, стал японский разработчик
Масато Кинугава (Masato Kinugawa): он сообщил о ней 14 сентября, а потом зарегистрировал профиль Rainbow Twtr (в настоящий момент закрытый), раскрашивавший страницы других пользователей в разные цвета. Эта шутка быстро распространилась на множество аккаунтов, и другие умельцы стали использовать «дыру» для менее цветастых шуток - в том числе, для переадресации микроблогеров на порноресурсы.


Во время массовой эпидемии заразились только те, кто заходил в Twitter с веб-версии сайта - пользователи приложений и мобильной версии не пострадали. По данным «Лаборатории Касперского», под горячую руку беспощадного скрипта попали не менее полумиллиона человек. В настоящий момент дыру починили.


Интересно, что о существующей уязвимости в Twitter знали до эпидемии, и даже устраняли её - но она восстала из мертвых во время очередного обновления (не связанного с новым дизайном микроблогхостинга), и никто этого не заметил. Кстати, пользователи могут не бояться, что кто-то украл данные о них, и даже менять пароли совершенно не обязательно.


Стоит отметить, что микроблогхостинг Twitter атакуют с завидной регулярностью, как ради торжества искусства и показательных выступлений, так и в корыстных целях. Впрочем, иногда ресурс сам, без помощи со стороны хакеров, совершает необдуманные поступки - например, теряя тысячи сообщений пользователей, как это случилось в июне.



http://tote-preven.livejournal.com/28867.html

Оставить комментарий

Архив записей в блогах:
...
Ёлочку прислала )) Пора подарками озаботиться, Наташа недавно написала, уже меньше ста дней до Нового года осталось )) ...
Инвестиции в строительство и реконструкцию железных дорог. 2017 (план). Китай: $116.4 млрд Россия: $3.2 млрд ...
Регулярно читаю блог Chikirinの日記 . Недавно она писала о том, что инвестиции в получение детьми высшего образования в Японии зачастую не окупаются. Высшее образование в Японии ощутимо платное, многим приходится брать кредит. А потом оказывается, что на достойную работу ты устроиться не ...
Всем салют! Непризнанный ленивожоп 80 уровня очень захотел овсяного печенья. А так как погода стала нормальной и можно включать духовку, не боясь сойти с ума, немедленно приступил к приготовлению печенья, благо всё было куплено заранее. В общем делать адекватного размера печеньки удел ...