Twitter napadl červ StalkDaily

Mikroblogovací služba Twitter byla o právě uplynulém víkendu napadena prostřednictvím cross-site scripting útoku, který vešel ve známost jako StalkDaily. Nebezpečný skript byl vložen do pole O mě v nastrčeném uživatelském profilu. Z pohledu návštěvníka nastraženého profilu šlo o odkaz na JavaScript, který se objevil v atributu color a který směřoval na škodlivý skript umístěný na webu mikeyylolz.com (nedoporučuji navštěvovat). Útočníkovi následně stačilo takto nastrčenými profily nastavit sledování profilů jiných uživatelů, kteří o tom byli informováni a nebezpečné profily navštívili, aby se podívali, kdo nový je „pronásleduje“.

Po třívteřinové pauze od svého spuštění si odkázaný skript vyžádal od prohlížeče cookie Twitteru a s jeho pomocí získal přístup k účtu, kde se opět přidal do pole O mě a publikoval tweety obsahující odkaz na StalkDaily.com. Díky vytvoření uživatelské session pomocí již existujícího cookie nebyla prozrazena hesla uživatelů. StalkDaily je služba, která do značné míry konkuruje právě Twitteru, když umožňuje publikování mikroblogů ovšem navíc včetně obrázků či videa. Šíření odkazu na StalkDaily bylo zdrojem původního přesvědčení, že za tímto útokem na Twitter je provozovatel této služby. Ten se od celé záležitosti nejprve distancoval, ale později se k ní přihlásil.

Provozovatelem StalkDaily je sedmnáctiletý Mikeyy Mooney: „Já jsem osoba, která nakódovala XSS, který se posléze choval jako červ, když aktualizoval profily a statusy uživatelů, které následně infikovaly uživatele prohlížející dané profily. Abych byl upřímný, udělal jsem to z nudy a potřeby získat peníze. Obvykle rád hledám zranitelnosti webů, ale snažím se nepůsobit příliš velké škody, jen se snažím dát provozovatelům najevo nedostatky a přitom propagovat sebe nebo svůj web,“ okomentoval Mooney vskutku svérázný způsob propagace svého projektu.

Problémy započaly v sobotu ráno a vyřešeny byly pozdě odpoledne. V zápětí však přišla další vlna, která trvala až do neděle. Twitter opravil zneužitou XSS zranitelnost. Napadeným účtům byla resetována přístupová hesla. Přesto je podle některých informací na Twitteru stále celá řada napadených účtů a odkaz na stránky obsahující nebezpečný skript je navíc šířen některými uživateli. Toto šíření velice dobře ukazuje zranitelnost, kterou potenciálně představují zkrácené URL obsažené ve tweetech. StalkDaily je zatím největším a nejúspěšnějším pokusem o útok na Twitter – zneužití jeho uživatelů.

Zdroj: TechCrunch, Mashable, Bnonews, C|Net, @spam

Témata článku: Web, Internet, Bezpečnost, Sociální sítě, Twitter, Tweet, Cross

2 komentáře

Nejnovější komentáře

  • evilmind 14. 4. 2009 1:58:26
    ... i když to mohlo jít méně drasticky.
  • evilmind 14. 4. 2009 1:45:12
    Podle mého názoru je to úplně v pořádku... svět potřebuje takovéhle lidi...
Určitě si přečtěte

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

** Gary Kildall pochopil, že levné výpočetní čipy mohou posloužit jako univerzální počítače pro všechny ** Připravil pro ně proto první operační systém ** Později mu systém vyfoukl Microsoft a nazval ho MS DOS

23.  4.  2017 | Pavel Tronner | 51

Původní Starcraft: Brood War je nyní zdarma. Konec práce! Jde se pařit

Původní Starcraft: Brood War je nyní zdarma. Konec práce! Jde se pařit

** Legendární hra Starcraft je nyní k dispozici zdarma ** Chystá se i nová remasterovaná verze s hezčí grafikou

19.  4.  2017 | Jakub Čížek | 25

Brno otevřelo největší českou dílnu pro bastlíře. Kladívka, vrtačky, 3D tiskárny, laserové řezačky. Je tu vše

Brno otevřelo největší českou dílnu pro bastlíře. Kladívka, vrtačky, 3D tiskárny, laserové řezačky. Je tu vše

** Máte nápad, ale chybí vám stroje a pořádná dílna? ** Chcete postavit ptačí budku, nebo krabičku pro Arduino? ** Brno otevřelo svůj FabLab – laboratoř pro bastlíře

19.  4.  2017 | Jakub Čížek | 31

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

** Už je to tady, lidé přestávají chápat počítače ** Systémy neuronových sítí začínají pracovat tak, že ani jejich tvůrci přesně neví, co se uvnitř děje ** Do budoucna to může být závažný problém

Včera | Jakub Čížek | 108

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

** Slavný osmibitový počítač Sinclair ZX Spectrum byl uveden právě před 35 lety ** Připomeňte si tento průkopnický počítač v tematických článcích ** Podívejte se, jak funguje dnes

23.  4.  2017 | Pavel Tronner | 13

Český Google Překladač začal používat umělou inteligenci. Konec „drahoušků zákazníků“

Český Google Překladač začal používat umělou inteligenci. Konec „drahoušků zákazníků“

** Google ve svém překladači roky používal statistickou technologii ** Nyní zavádí strojové učení a neuronové sítě ** Rozdíl by měl být zvláště na větších textech patrný už nyní

20.  4.  2017 | Jakub Čížek | 31


Aktuální číslo časopisu Computer

První test AMD Ryzen

Velké testy: 22 powerbank a 8 bezdrátových setů

Radíme s koupí Wi-Fi routeru

Co dokáží inteligentní domy?