С серьёзной уязвимостью столкнулся сервис микроблогов Twitter. Атака началась около двух часов дня по московскому времени. Ее источником стал пользователь RainbowTwtr, опубликовавший несколько постов формата «http://twitter.com/RainbowTwtr#@«style=«background-color:red;color:red;position:absolute;top:0;left:0;width:100%;height:100%»/». Особенность таких постов заключается в том, что после символов «#@» в кавычках размещается набор команд, которые автоматически исполняются на странице, где размещена такая запись. Например, приведенная команда раскрашивает часть фона твиттер-странички в красный цвет.
За очень короткое время, рассказал агентству «Интерфакс» главный антивирусный эксперт Лаборатории Касперского Александр Гостев, появились минимум два «червя», стремительно распространявшихся в Twitter.
Черви распространялись с огромной скоростью. Система наблюдения Лаборатории Касперского фиксировала примерно 100 зараженных аккаунтов в секунду — страницы многочисленных пользователей были «раскрашены» в разные цвета.
Администрация ресурса сообщила, что она «идентифицировала нападение» и решает проблему. В 16.52 была закрыта возможность отправлять сообщения-твиты, содержащие подобные коды. В 17.45 администрация официально сообщила о ликвидации проблемы. К этому моменту, по оценкам разных специалистов,
от атак пострадали порядка 500 000 аккаунтов.
Пользователи применяли похожий скрипт для развлечения. Так, например, «раскрашиванию» подвергся аккаунт Сары Браун, жены бывшего премьер-министра Великобритании, сообщил Гостев. Появились и хулиганы, которые уже не раскрашивали экран, а заставляли пользователей постоянно нажимать на одно и то же окошко. В частности, как сообщает исследовательская компания Netcraft, одним из таких хулиганов был австралийский подросток под ником @zzap.
Потенциальные возможности данной уязвимости социальной сети довольно быстро были использованы и киберпреступниками.
Они начали запускать на страничках сервиса сценарии JavaScript, используя так называемое событие onMouseOver (срабатывание команды при наведении мышкой на тот или иной объект). При проведении курсором поверх ссылок, находящихся в сообщении, у пользователей автоматически открывались новые вкладки в браузере или появлялись текстовые сообщения во весь экран. Подобные надписи были плохо видны (например, написаны белым цветом на белом фоне) или непонятны, это заставляло пользователей навести на них курсор мышки и активировать «спрятанную» в коде команду.
Такие уязвимости относятся к классу XSS-инъекций (Cross Site Scripting). С их помощью можно показывать твиттер-пользователям спам или переводить пользователей на порносайты через всплывающие окна. Технология XSS в различных вариациях уже широко использовалась как в хакерских атаках на компьютеры пользователей, так и применялась легальными игроками в сравнительно мирных целях — сборе данных о посещениях интернет-страниц путем экстракции и анализа файлов типа cookies, где содержатся данные о посещенных вэб-страницах, рассказывает представитель компании G Data Software Роман Карась.
Мало того, «атака может закончиться для пользователя установкой вредоносного ПО на компьютер, что может повлечь за собой и потерю Twitter-аккаунта», рассказал РИА «Новости» руководитель центра вирусных исследований и аналитики компании ESET Александр Матросов. «Функционал уязвимости позволяет злоумышленникам похищать аккаунты доступа к этой социальной сети», — рассказывает Гостев.
Это не первая серьёзная атака на Twitter. В декабре прошлого года сайт подвергся хакерской атаке со стороны «Иранской армии хакеров». Взлом был произведен посредством JavaScript. На сайте хакеры оставили свое послание, суть которого сводилась к тому, что «если американцы не могут контролировать свои сайты и свою кибербезопасность, то что говорить об их оружии?» Скрипт «ретвитил» (ретранслировал) все сообщения с упоминанием имени некоего Даниеля Фарлея.
Специалисты в области безопасности, однако, рекомендуют воздержаться от использования веб-интерфейса до полной уверенности, что проблема решена. Пользоваться сервисом можно через сторонние клиенты типа TweetDeck, Seesmic и прочие.
Данный вид атак направлен не столько на Twitter, сколько на его пользователей, убежден Карась. «После запрета поддержки на сервере JavaScript (на Twitter это вариант onMouseOver JavaScript code) ситуация вернется в старое русло, — считает он. — Однако пользователям так или иначе хотелось бы рекомендовать не «вестись» на психологические уловки злоумышленников — не кликать на неизвестных линках, а если все же случилась неприятность — сразу же останавливать свое дальнейшее путешествие по сети». Также Карась рекомендует пользоваться платными программами безопасности для интернета.