Twitter napadl červ StalkDaily

Twitter napadl červ StalkDaily

Mikroblogovací služba Twitter byla o právě uplynulém víkendu napadena prostřednictvím cross-site scripting útoku, který vešel ve známost jako StalkDaily. Nebezpečný skript byl vložen do pole O mě v nastrčeném uživatelském profilu. Z pohledu návštěvníka nastraženého profilu šlo o odkaz na JavaScript, který se objevil v atributu color a který směřoval na škodlivý skript umístěný na webu mikeyylolz.com (nedoporučuji navštěvovat). Útočníkovi následně stačilo takto nastrčenými profily nastavit sledování profilů jiných uživatelů, kteří o tom byli informováni a nebezpečné profily navštívili, aby se podívali, kdo nový je „pronásleduje“.

Po třívteřinové pauze od svého spuštění si odkázaný skript vyžádal od prohlížeče cookie Twitteru a s jeho pomocí získal přístup k účtu, kde se opět přidal do pole O mě a publikoval tweety obsahující odkaz na StalkDaily.com. Díky vytvoření uživatelské session pomocí již existujícího cookie nebyla prozrazena hesla uživatelů. StalkDaily je služba, která do značné míry konkuruje právě Twitteru, když umožňuje publikování mikroblogů ovšem navíc včetně obrázků či videa. Šíření odkazu na StalkDaily bylo zdrojem původního přesvědčení, že za tímto útokem na Twitter je provozovatel této služby. Ten se od celé záležitosti nejprve distancoval, ale později se k ní přihlásil.

Provozovatelem StalkDaily je sedmnáctiletý Mikeyy Mooney: „Já jsem osoba, která nakódovala XSS, který se posléze choval jako červ, když aktualizoval profily a statusy uživatelů, které následně infikovaly uživatele prohlížející dané profily. Abych byl upřímný, udělal jsem to z nudy a potřeby získat peníze. Obvykle rád hledám zranitelnosti webů, ale snažím se nepůsobit příliš velké škody, jen se snažím dát provozovatelům najevo nedostatky a přitom propagovat sebe nebo svůj web,“ okomentoval Mooney vskutku svérázný způsob propagace svého projektu.

Problémy započaly v sobotu ráno a vyřešeny byly pozdě odpoledne. V zápětí však přišla další vlna, která trvala až do neděle. Twitter opravil zneužitou XSS zranitelnost. Napadeným účtům byla resetována přístupová hesla. Přesto je podle některých informací na Twitteru stále celá řada napadených účtů a odkaz na stránky obsahující nebezpečný skript je navíc šířen některými uživateli. Toto šíření velice dobře ukazuje zranitelnost, kterou potenciálně představují zkrácené URL obsažené ve tweetech. StalkDaily je zatím největším a nejúspěšnějším pokusem o útok na Twitter – zneužití jeho uživatelů.

Zdroj: TechCrunch, Mashable, Bnonews, C|Net, @spam

Diskuze (2) Další článek: DB admine, raduj se. SQL Server 2008 přichází

Témata článku: Web, Internet, Sociální sítě, Bezpečnost, Twitter, Profil, Mooney, Červ, Tweet, Obsahující odkaz, Cross


Určitě si přečtěte

Zranitelnost platebních karet Visa umožňuje zločincům obejít limit při bezkontaktních platbách

Zranitelnost platebních karet Visa umožňuje zločincům obejít limit při bezkontaktních platbách

** Odborníci přišli na to, jak obejít limit bezkontaktních plateb ** Stačí zařízení, ovlivňující komunikaci mezi kartou a terminálem ** Stahují se nad bezkontaktními platbami mračna?

Karel Kilián | 79

Pojďme programovat elektroniku: České chytré zásuvky Netio pro kutily i firmy

Pojďme programovat elektroniku: České chytré zásuvky Netio pro kutily i firmy

** Wi-Fi zásuvky nevyrábí pouze Čína ** Vyzkoušeli jsme českou Netio PowerCable ** Je přímo určená pro vývojáře, má totiž jednoduché JSON API

Jakub Čížek | 42

Je ta fotka černobílá, nebo barevná? Náš mozek realitu pouze odhaduje a vymýšlí si

Je ta fotka černobílá, nebo barevná? Náš mozek realitu pouze odhaduje a vymýšlí si

** Klasický počítač bezchybně zpracuje bit po bitu dat ** Mozek si realitu naopak spíše představuje a chybuje ** Teď se tím baví internet u další optické iluze

Jakub Čížek | 33

20 tipů a triků pro Gmail: Užitečné maličkosti, které zefektivní práci s e-maily

20 tipů a triků pro Gmail: Užitečné maličkosti, které zefektivní práci s e-maily

** V Gmailu je řada užitečných funkcí, které možná všechny neznáte ** Odeslání mailu můžete například pozdržet či naplánovat na později ** Nad Gmailem můžete mít s několika triky daleko lepší kontrolu

Karel Kilián | 25



Aktuální číslo časopisu Computer

Speciál o přechodu na DVB-T2

Velký test herních myší

Super fotky i z levného mobilu

Jak snadno upravit PDF