Twitter опубликовал официальное объяснение об упущении в безопасности, так
называемой уязвимости "onMouseOver", которая поразила веб-сайт Twitter.com
вчера.

В официальном сообщении Боб Лорд, член группы безопасности Twitter, сообщает
о хронологии атаки, ее исходных причинах и охвате.

Злонамеренные пользователи,
используя межсайтовый скриптинг (XSS), автоматически перенаправляли блогеров на
другие веб-сайты, а также автоматически рассылали приглашения другим
пользователям с целью их привлечения на сайт Twitter.

Этот тип атаки особенно опасен, потому что ему подвержены все, кто просто
наводил указатель мыши на ссылку на странице сайта. В некоторых случаях,
обычного посещения сайта Twitter было достаточно для создания шаблонов
автоматической рассылки твитов.

Twitter говорит, что обнаружил дыру, которая привела к подобной атаке, еще в
прошлом месяце и исправила уязвимость. Однако, недавнее обновление сайта (как
подчеркивает Twitter, оно не имело отношения к новому сайту Twitter) привело к
повторному появлению уязвимости.

Данная атака повлияла только на пользователей Twitter.com, и не затронула
пользователей мобильного веб-сайта или других сторонних приложений Twitter.
Twitter говорит, что был уведомлен о проблеме в системе безопасности в 2:54 ночи
и исправил самые значительные проблемы уже к 7:00 утра.

Служба микро-блогов сообщает, что скорее всего атака была произведена как
шутка или в целях рекламы. Лорд пишет, что Twitter не известно о каком-либо
негативном влиянии на компьютеры пользователей или на их учетные записи Twitter.
Личные данные учетных записей пользователей не были под угрозой, поэтому смена
пароля не обязательна.

Хотя и очевидно, что данная атака была просто сильно раздражающим инцидентом,
а не каким-либо серьезным повреждением, это событие – хорошая демонстрация того,
как быстро можно навредить даже большому веб-сайту. Ради блага Twitter мы
надеемся, что Twitter будет проводить больше проверок соответствия спецификациям
при применении патчей, чтобы избежать подобных инцидентов в будущем.



Оставить мнение