В Twitter знали о критической уязвимости
liome_stanvi — 28.11.2010Администрация Twitter знала о баге, ставшем причиной позавчерашней массовой эпидемии, еще месяц назад, сообщается в официальном заявлении представителей блогхостинга. Уязвимость была закрыта, но во время последнего обновления «Твиттера» снова дала о себе знать.
Напомним, вчера во второй половине дня по московскому времени (и рано утром по времени калифорнийскому) пользователи Twitter начали массово заражать друг друга непонятной заразой, публиковавшей странные ссылки, переадресовывавшей с микроблогхостинга на порносайты и открывавшей сообщения на весь экран. Именно так широкой общественности стало известно о серьезной XSS-уязвимости - некий «хакер» с помощью неё запустил сценарии JavaScript, которые «заражали» пользователей, даже если они не щелкали ни на какие ссылки, а просто наводили курсор мыши на чье-то зараженное сообщение.
Первым, кто обнаружил уязвимость, стал японский разработчик
Масато Кинугава (Masato Kinugawa): он сообщил о ней 14 сентября, а
потом зарегистрировал профиль Rainbow Twtr (в настоящий момент
закрытый), раскрашивавший страницы других пользователей в разные
цвета. Эта шутка быстро распространилась на множество аккаунтов, и
другие умельцы стали использовать «дыру» для менее цветастых шуток
- в том числе, для переадресации микроблогеров на порноресурсы.
Во время массовой эпидемии заразились только те, кто заходил в Twitter с веб-версии сайта - пользователи приложений и мобильной версии не пострадали. По данным «Лаборатории Касперского», под горячую руку беспощадного скрипта попали не менее полумиллиона человек. В настоящий момент дыру починили.
Интересно, что о существующей уязвимости в Twitter знали до эпидемии, и даже устраняли её - но она восстала из мертвых во время очередного обновления (не связанного с новым дизайном микроблогхостинга), и никто этого не заметил. Кстати, пользователи могут не бояться, что кто-то украл данные о них, и даже менять пароли совершенно не обязательно.
Стоит отметить, что микроблогхостинг Twitter атакуют с завидной регулярностью, как ради торжества искусства и показательных выступлений, так и в корыстных целях. Впрочем, иногда ресурс сам, без помощи со стороны хакеров, совершает необдуманные поступки - например, теряя тысячи сообщений пользователей, как это случилось в июне.
http://tote-preven.livejournal.com/28867.html
|
</> |