Twitter je až příliš zranitelný

14. 4. 2009

Sdílet

Provozovatelé mikroblogovacího systému Twitter připustili, že během velikonočních svátků byla služba cílem minimálně třech útoků červů. V důsledku toho přezkoumají, jak je celý systém vůbec naprogramován/navržen.

Za první z útoků je odpovědný Michael Mooney, 17letý tvůrce Twitteru podobné služby StalkDaily. Provozovatelé Twitteru uvedli, že potenciálně ohrožené účty byly zabezpečeny a další šíření červa zastaveno. Červ zneužíval chybu typu cross-site scripting ve službě Twitter a pokoušeli se infikovat profily uživatelů. K tomu si pomáhal odkazy na podvodné profily, které vytvořil Mooney. Pokud by si uživatelé Twitteru prohlíželi tyto profily, došlo by k infekci jejich vlastních profilů, z nichž by byl mj. rozesílán spam propagující službu StalkDaily.

Rovněž druhý víkendový útok zneužíval cross-site scripting. Třetí z šířících se červů byl pak navázán na první zranitelnost. K autorství tohoto červa se přiznal rovněž Mooney a v rozhovoru pro Net News Daily Mooney dokonce uvedl, že červa vytvořil prostě z nudy, když v noci neměl nic lepšího na práci, a to, co provedl, mu je trapné. Prohlásil rovněž, že přijímá odpovědnost za to, co provedl, včetně případného uvěznění.

Americký Computerworld v této souvislosti cituje bezpečnostní experty, kteří varují uživatele, aby v Twitteru neklikali na cizí profily nebo na vložené odkazy. Služba je skrz naskrz děravá a červi z velikonočního víkendu určitě nejsou poslední. Mikko Hypponen ze společnosti F-Secure uvedl, že útoky tohoto typu pro svůj úspěch vesměs vyžadují mít v prohlížeči povolený JavaScript. Pokud už uživatel provádí na Twitteru nějakou potenciálně rizikovou akci, měl by JavaScript alespoň dočasně zakázat.

ICTS24