Twitter подвергся атаке межсайтового скриптинга

За субботу и воскресенье социальная сеть Twitter была атакована, по меньшей мере, тремя червями. Руководство службы микроблогов пообещало пользователям исправить ошибки кода. Ответственность за проведенные атаки взял на себя 17-летний Майкл Муни (Michael Mooney), известный также под именем Mikeyy.

"В субботу около 13:00 было создано четыре аккаунта, с которых червь начал распространяться по сети. С 18:30 до 22:00 наша команда обеспечения безопасности пыталась выявить источники угрозы. К тому времени уже около 90 аккаунтов были поражены червем. Мы обнаружили и очистили их от вредоносного кода", – сообщил в своем блоге один из основателей Twitter Биз Стоун (Biz Stone).

Этот червь под названием StalkDaily, сведения о котором появились еще в субботу, поражал пользовательские профили, используя уязвимость межсайтового скриптинга. Атака началась с рассылки постов, источником которых были несколько аккаунтов, созданные Майклом Муни. Когда пользователи просматривали профили этих аккаунтов, их собственные профили также становились источником опасности. Уже с их аккаунтов продолжалась рассылка сообщений, которые содержали ссылки на зараженные страницы профилей. Все эти посты содержали рекламную информацию с упоминанием веб-сайта StalkDaily, созданного Муни.

Вторая атака, затронувшая около сотни аккаунтов, состоялась в субботу вечером, а третья началась в воскресенье. Все они также использовали ошибки межсайтового скриптинга, обнаруженного в коде сервиса. "В общей сложности, мы обнаружили и удалили почти 10 тысяч постов, способствовавших распространению червя", – сообщает Стоун.

Появившийся в воскресенье червь получил название Mikeyy, поскольку посты, публикуемые от имени владельцев пораженных аккаунтов, содержали послания, вроде "Mikeyy, все готово..." или "Слышь, Twitter ничего не может поделать. Mikeyy их всех сделал". Ответственность за эту атаку также взял на себя Майкл Муни, признав свое авторство в интервью для новостного интернет-издания Net News Daily.

На вопрос о том, для чего он создал червя StalkDaily, Муни ответил незамысловато: "От скуки. На дворе ночь, и мне нечего было делать". Несколько его реплик показали, что, с одной стороны, он не беспокоится о последствиях своих действий, а с другой – прекрасно понимает, к чему они могут привести. "Мне, конечно, неловко из-за этого, но не я ведь оставил эту уязвимость открытой. Я не слишком волнуюсь. Я знаю, что могу угодить из-за этого в тюрьму", – говорит он. На своем веб-сайте StalkDaily Муни оставил сообщение: "Я признаю свою ответственность за создание этого червя".

Компании, работающие в области компьютерной безопасности, предупреждают о том, что угроза атак все еще существует. "В течение одного-двух дней в сети Twitter может появиться несколько модификаций червей. Будьте осторожнее со своими блогами, не просматривайте чужие профили и не открывайте ссылки", – предупреждает Микко Хюппёнен (Mikko Hypponen), главный научный сотрудник компании F-Secure. Он отметил, что эти атаки выполняются посредством JavaScript, и пользователи могут обезопасить свои системы, отключив в браузерах его поддержку.