Australijski tinejdžer izazvao globalnu paniku na Twitter-u

Melburški student Pearce Delphin (17) na twitter-u pod imenom @zzap izazvao je paniku na Twitteru nakon što je testirao računarski kod koji otvara prozorčić sa upozorenjem govoreći "Oh, oh" kada korisnik prelazi mišem preko inficirane poruke ili tweeta.
No, ovo su kasnije iskoristili i neki nestašni korisnici koji su ljude naterali da "retweetaju" inficirane poruke (na način da su prelazili mišem preko tweetova u kojima je bio ugrađen ovaj kod).
Pearce Delphin je izjavio za The Age da je iznenađen da je "toliko slavnih ljudi bilo zaraženo". Ipak, on tvrdi da je ovo odgovornost Twitter-a, a ne njegova - da održavaju stranicu i svoj servis sigurnim.
"Kada pogledate instituciju poput Bele kuće, ne očekujete da neko zapravo sedi tamo i osvežava stranicu Twitter.com i prelazi mišem preko linkova on onih koje prati. Mislim da bez obzira na moć slave, što se tiče sigurnosnih rizika na internetu morate biti oprezni kao i svi drugi, a to je jedno od retkih područja koje utiče na svakoga i to na jednakom nivou", rekao je Delphin za The Age.
Twitter je u službenom postu objasnio u čemu se sastojao sigurnosni propust nazvan 'onMouseOver'.
Naime, kada se preko sumnjivog linka prolazilo kursorom miša, stranica koja je navedena u linku automatski se otvarala bez klika mišem, a na linku se mogla naći internetska stranica sa neprikladnim sadržajem, ali i sasvim normalna stranica.
Propust se javljao samo ukoliko se stranica Twitter-a pregledavala preko internet pretraživača, a ukoliko ste se na Twitter spajali preko Twitter klijenata, poput TweetDeck-a ill Twhirl-a, sve je funkcionisalo normalno.
U službenom objašnjenju sigurnosni ekspert iz Twitter-a Bob Lord izložio je tok napada, njegov osnovni uzrok i opseg njegovog delovanja.
Koristeći cross-site scripting (XSS), maliciozni korisnici mogli su da iskoriste sigurnosnu rupu na web stranici Twitter.com. Rezultat toga bio je da su hiljade korisnika bili preusmereni na druge web stranice i da su automatski slali tweetove prema drugim korisnicima.
Ovaj tip računarske ranjivosti obično se može pronaći u web aplikacijama koje malicioznim napadačima omogućavaju da ubace tzv. client-side skriptu u web stranice koje pregledaju drugi korisnici.
Reč je o prilično gadnom napadu jer se ranjivost može iskoristiti jednostavnim prolaskom kursora miša preko linka na web stranici. Primera radi, ako ste samo posetili stranicu Twitter.com mogli ste da doživite da se automatski pokrene slanje tweetova prema drugim korisnicima.
Twitter je objavio da ovaj sigurnosni propust nema nikakve veze sa novim redizanom Twitter-a. Propust je uticao samo na korisnike Twitter.com, ali ne i na one koji su koristili mobilne verzije ove web stranice ili neku od aplikacija tzv. treće strane. Problemi su otkriveni u 2:54 ujutro (prema PT, Pacific Time), a otklonjeni su četiri sata kasnije.
Takođe je objavljeno da se čini da je velika većina zloupotreba iskorišćena za promotivne svrhe i da podaci o računima, lozinke i sl. nisu bili ugroženi.
Iako se čini da je ovaj incident bio više prolazna smetnja, a manje incident koji bi izazvao dugotrajnu i veću štetu, to je dobar podsetnik koliko i veliki sistemi mogu biti ranjivi. Nadamo se da su i u Twittter-u naučili ovu lekciju.

Kategorija: