Peti rođendan Twittera – istorija bezbednosnih propusta i napada

Društvene mreže, 24.03.2011, 08:35 AM

Peti rođendan Twittera – istorija bezbednosnih propusta i napada

Ove nedelje Twitter slavi peti rođendan. Od svog osnivanja u julu 2006. godine ovaj mikro-bloging servis postao je sastavni deo svakodnevnice mnogih ljudi. Twitter je takođe, u tom periodu, bio izvorište nekoliko napada zlonamernim programima, a i danas je jedan od omiljenih vektora napada sajber-kriminalaca.

Bezbednost na Twitter-u ima je burnu istoriju, uprkos tome što je reč o relativno mladoj platformi. Bilo je različitih vrsta napada, od takozvanih trending topics (aktuelnih tema) preko hakovanja administracije pa do preotimanja naloga. Zbog popularnosti Twitter-a i stalnih propusta u bezbednosti, američka Federalna trgovinska organizacija (Federal Trade Commission, FTC) podnela je prijavu protiv Twitter-a 2010. godine. To je rezultiralo time da je kompanija bila prinuđena da usvoji brojna nova pravila na polju bezbednosti, uključujući i opcije koje se tiču bezbednosti kao što je podrazumevana SSL konekcija i OAUTH podrška za eksterne Twitter klijente.

Kaspersky Laboratorija je objavila hronološki pregled nekih od najznačajnijih događaja u bogatoj istoriji bezbednosti mikro-bloging servisa:

April 2007: Propust u SMS autorizaciji omogućila je napadačima ažuriranje statusa profila drugih korisnika putem tekstualnih poruka. Twitter je potom uveo opciju PIN koda kako bi rešio ovaj problem.

Avgust 2008: Sajber-krimiminalci su napravili veb stranicu sa reklamom sa erotski video. Klik na sliku je inficirao računare korisnika Trojancem downloader-om koji je bio predstavljan kao nova verzija Adobe Flash.

Februar 2009: Clicjacking napadi postaju učestaliji. Korisnici Twitter-a se susreću sa linkovima u statusnim porukama sa tekstom “Don't click,” koje se objavljuju sa naloga pratioca.

April 2009: Twitter je pogođen različitim varijanatama XXS (cross-site scripting) kompjuterskih crva. Hiljade poruka koje sadrže ime “Mikeyy” (ime autora crva) objavljivane su zahvaljujući širenju crva.

April 2009: Francuski haker je uspeo da pristupi administrtorskom panelu Twitter-a i ostavri interni pristup nalozima poznatih ličnosti kao što su Britni Spirs ili Ešton Kučer.

Jun 2009: Twitter nalog čuvenog Gaja Kvasakija je preotet i potom se pokušala infekcija kompjutera 130000 pratilaca tog naloga zlonamernim programom pisanim za Mac i Windows.

Jul 2009: Nova varijanta Koobface-a omogućavala je širenje infekcije među korisicima Twitter-a. Kada bi korisnik zaraženog kompjutera pokušao da se prijavi na Twitter, Koobface bi preoteo sesiju i objavljivao tvit sa takvog naloga pokušavajući da zarazi pratioce tog korisnika.

Avgust 2009: Twitter nalog je korišćen kao komandni i kontrolni centar (C&C center) za bot mreže. Tvitovi su sadržali specijalan kod koji se preuzimao, dešifrirao i skladištio kao infektivna komponenta za ažuriranje zlonamernog softvera na prethodno zaraženim računarima.

Maj 2010: Otkriven bag koji je omogućio zlonamernim korisicima da prinude ostale da ih prate.

Jun 2010: Twitter je postigao dogovor sa američkom Federalnom trgovinskom organizacijom o preduzimanju brojnih koraka koji bi učinili bezbednijim korisničke podatke. Jedna od mera na čiju se primenu Twitter tom prilikom obavezao je revizija bezbednosti na svake dve godine.

Septembar 2010: Otkriven takozvani “MouseOver” exploit (vidi u Rečniku: exploit). Samo prelazak mišem preko zlonamernog tvita bio je dovoljan za pokretanje crva, što bi na kraju rezultiralo objavom istog takvog tvita sa naloga prevarenog korisnika. Exploit je potom korišćen za objavljivanje pop-up oglasa i linkova ka pornografskim sajtovima.

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Facebook će ponovo plaćati korisnicima da bi pratio šta rade na svojim telefonima

Facebook će ponovo plaćati korisnicima da bi pratio šta rade na svojim telefonima

Facebook će ponovo početi da plaća ljudima da bi pratio kako koriste svoj telefon preko nove aplikacije koja je nazvana Study. Aplikacija će, i... Dalje

Twitter pojednostavio svoja pravila o bezbednosti i privatnosti

Twitter pojednostavio svoja pravila o bezbednosti i privatnosti

Kako bi olakšao razumevanje pravila svoje platforme, Twitter je juče objavio da pojednostavljuje svoja pravila koja su sada napisana jednostavnim, j... Dalje

Propao pokušaj da se Zakerberg natera na povlačenje sa mesta predsednika Facebooka

Propao pokušaj da se Zakerberg natera na povlačenje sa mesta predsednika Facebooka

Pokušaj da se osnivač Facebooka Mark Zakerberg natera da se povuče sa mesta predsednika kompanije nije uspeo. Na godišnjoj generalnoj skupštini k... Dalje

Facebook će vam olakšati da prijavite grešku na sajtu, potrebno je samo da protresete telefon

Facebook će vam olakšati da prijavite grešku na sajtu, potrebno je samo da protresete telefon

Facebook želi da pojednostavi i olakša korisnicima prijavljivanje grešaka na sajtu društvene mreže. Zahvaljujući novoj funkciji, kada naiđete ... Dalje

Facebook za 6 meseci obrisao više od 3 milijarde lažnih naloga

Facebook za 6 meseci obrisao više od 3 milijarde lažnih naloga

Facebook je objavio izveštaj sa podacima o tome koliko je objava i naloga bilo protiv kojih su preduzete određene mere u periodu između oktobra 201... Dalje