О проекте   Реклама на сайте Войти или ...
получить пропуск?
Новости – Интернет – Сентябрь 2010 – Уязвимость стала причиной хаоса в Twitter
  Подписка на новости
  
  
 
В избранное
Комментировать
Поместить в блог
 
   

Уязвимость стала причиной хаоса в Twitter

В избранном: 0

Просмотров: 1551

Комментариев: 0

 

Метки: социальные сети, блогосфера, микроблоги, Twitter, JavaScript, Cross Site Scripting, Лаборатория Касперского, Александр Гостев, вирусы, киберпреступники, хакеры, вредоносный код

 

 

Распечатать  

 

Среди недели на популярную систему микроблогов обрушился настоящий вирусный шторм, из-за которого администрация ресурса была вынуждена попросить пользователей в течение нескольких дней воздержаться от использования веб-интерфейса, хотя распространение вредоносных решений было приостановлено спустя пару часов.

Все началось с небольшого развлекательного сообщения, позволяющего автору разукрашивать свою страничку в любой цвет, изменять параметры отображения и т.д. Запись с включением «#@», после которого располагается произвольный код, изначально была средством развлечения и относительно безопасного издевательства, когда пользователям приходилось бороться со всплывающими окошками.

Вскоре уязвимость привлекла внимание хакеров, говорит Александр Гостев, являющийся ведущим экспертом Лаборатории Касперского в области антивирусной защиты, началось распространение минимум двух различных интернет-червей, которые за считанные часы поразили полмиллиона записей. Эпидемия разрасталась стремительно, каждую секунду антивирусные эксперты регистрировали сотню новых сообщений о заражении.

Вредоносный код базировался на технологии Cross Site Scripting, позволяющей выполнять переадресацию пользователей и использовать для рекламы всплывающие окна. Для написания небезопасных сообщений использовался цвет, близкий к фону страницы Twitter, благодаря чему злоумышленники вынуждали пользователя навести курсор и активировать событие onMouseOver. В результате выполнялся JavaScript сценарий.

Надо сказать, что Cross Site Scripting нередко используется в целях сбора информации о посещенных ресурсах, что для пользователя не критично, однако последние разновидности червей могут стать причиной утери аккаунта. На сегодняшний день эксперты рекомендуют использовать сторонний софт, чтобы не попасться на удочку мошенников.

Напомним, что во зло возможности JavaScript использовались в декабре 2009 года, когда иранские хакеры сумели пробить защиту Twitter и оставить язвительное сообщение в адрес американского правительства.