Twitter гризуть черви

91

Починаючи з суботи користувачі Twitter відчувають на собі дію XSS-хробаків, написаних 17-річним власником конкуруючого сервісу. Фахівці з безпеки з Twitter третю добу закладають лазівки, через які пролазять черв’яки.

За словами Мікко Хиппонена (Mikko Hypponen) з компанії F-Secure, в суботу деякі користувачі сервісу почали скаржитися на те, що від їх імені створюються записи, що рекламують сайт StalkDaily.com. Їх «френди», яким вистачило розуму піти за посиланням, наривалися на діючий за цією адресою JavaScript, який використовував XSS уразливість (міжсайтовий скриптинг) для зараження їх профілів на «Твіттері».

Після цього повідомлення з рекламою StalkDaily.com починали розсилатися автоматично знову заражених профілів. Більш того, підчепити заразу користувачі Твіттера» могли, просто переглянувши сторінку з зараженим профілем.

Всього за вихідні було три різних різновиди цього хробака, використовують різні XSS-вразливості: ледь співробітники Twitter відбивалися від одного, як незабаром з’являвся наступний. Хиппонен радить користувачам Twitter не заходити на інші профілі, не ходити по посиланнях, а ще краще — просто відключити виконання JavaScript в браузері.

Власником StalkDaily.com виявився якийсь Майкл Муні (Michael Mooney), проживає в Луїзіані підліток. Редактору Net News Daily Скотту Кемпбеллу (Scott Campbell) вдалося з ним зв’язатися і взяти невелике інтерв’ю.

Муні зізнався, що всі три хробака є його творіннями і що він написав їх від нудьги:

«Була середина ночі, і мені нічого було робити. Близько тижня тому я помітив XSS-вразливість і вирішив її використовувати».

Муні усвідомлює, що доставив неприємності багатьом людям, і навіть сильно шкодує про це, однак каже, що це не він «той, хто залишив уразливість». Дірою міг скористатися хтось інший, і при цьому запросто тягнути з заражених облікових записів персональні дані — ім’я, електронну пошту та номер мобільного телефону.

Буквально кілька годин тому з’явилася інформація про нову, четверту за рахунком атаці. Згідно свіжому «твіти» Хиппонена, атаку розпочав юзер cleaningUpMikey. Поки не дуже зрозуміло, чи причетний до неї Муні.

У керівництві Twitter обіцяють прийняти самі рішучі заходи у зв’язку з атаками. Замість того щоб нагадати громадськості про фишерской атаці тримісячної давності, яка призвела до злому ряду Twitter-акаунтів, і похвалитися рішучими заходами по відношенню до тодішнім зловмисникам, один із засновників «Твіттера» Біз Стоун (Biz Stone) наводить як приклад історію з черв’яком Samy, терроризировавшем користувачів MySpace в 2005 році. Пізніше творця Samy заарештували, визнали винним, наклали штраф і засудили до трирічного терміну пробації.

Сам Муні усвідомлює, що може поплатитися свободою за свої дії, але «не турбується».

Також Муні запевняє, що не крав приватних даних користувачів. Адміністрація Twitter теж стверджує, що в результаті атак не постраждали паролі, телефонні номери або інша критична інформація.

Втім, як з’ясувалося на тому тижні, для того щоб дістатися до критичної інформації про користувачів цього мікроблогінгу, зовсім не обов’язково запускати в систему черв’яків — співробітники Twitter можуть видати її і самі.