Главная / twitter / Твиттер объяснил причину и хронологию вчерашнего нападения на свой сайт

Твиттер объяснил причину и хронологию вчерашнего нападения на свой сайт

Твиттер наконец опубликовал официальный ответ по поводу бага — «onMouseOver«, который обрушился на сайт Twitter.com вчера днем.

В своем блог посте член команды безопасности Твиттера, Боб Лорд излагается хронологию нападения, его причину и сферу охвата.

Как мы уже отмечали сегодня утром, используя скрипт XSS, злоумышленники смогли воспользоваться дырой в безопасности на сайте Твиттера. Как результат — тысячи пользователей оказались перенаправлены на другие сайты, автоматически отправляя твиты другим пользователям.

Данный вид атаки особенно неприятен, поскольку он вступает в силу как только вы наведете курсор мыши на ссылку. В моем случае, было достаточно просто посетить главную страницу Твиттера.

Твиттер говорит, что он обнаружил эту дыру в безопасности еще в прошлом месяце и залатал ее. Тем не менее, последнее обновление на сайте (которое Твиттер на связывает с переходом на новый Твиттер) похоже с новой силой обнажило проблемы безопасности.

От атаки пострадали только пользователи, которые имели доступ к сайту Twitter.com через веб, пользователи мобильного сайта и те, кто использует для доступа Твиттер клиенты, не пострадали. Твиттер говорит, что заранее известил о возникшей дыре в безопасности в 2:54 утра (по местному времени) и налажена работа сервиса была около 7:00 утра.

Сервис микроблогов также сообщил о том, что ему кажется, что целью данной атаки была либо чья-то злая шалость, либо его хотели использовать в рекламных целях. Далее Боб Лорд пишет, что Твиттеру не известно о каких-либо случаях, связанных с нападением, чтобы это как-то повлияло на чей-то компьютер или на чей-то аккаунт в Твиттере. Ни одна учетная запись не была скомпрометирована, и поэтому изменение паролей не требуется.

источник — mashable