Peti rođendan Twittera – istorija bezbednosnih propusta i napada

Društvene mreže, 24.03.2011, 08:35 AM

Peti rođendan Twittera – istorija bezbednosnih propusta i napada

Ove nedelje Twitter slavi peti rođendan. Od svog osnivanja u julu 2006. godine ovaj mikro-bloging servis postao je sastavni deo svakodnevnice mnogih ljudi. Twitter je takođe, u tom periodu, bio izvorište nekoliko napada zlonamernim programima, a i danas je jedan od omiljenih vektora napada sajber-kriminalaca.

Bezbednost na Twitter-u ima je burnu istoriju, uprkos tome što je reč o relativno mladoj platformi. Bilo je različitih vrsta napada, od takozvanih trending topics (aktuelnih tema) preko hakovanja administracije pa do preotimanja naloga. Zbog popularnosti Twitter-a i stalnih propusta u bezbednosti, američka Federalna trgovinska organizacija (Federal Trade Commission, FTC) podnela je prijavu protiv Twitter-a 2010. godine. To je rezultiralo time da je kompanija bila prinuđena da usvoji brojna nova pravila na polju bezbednosti, uključujući i opcije koje se tiču bezbednosti kao što je podrazumevana SSL konekcija i OAUTH podrška za eksterne Twitter klijente.

Kaspersky Laboratorija je objavila hronološki pregled nekih od najznačajnijih događaja u bogatoj istoriji bezbednosti mikro-bloging servisa:

April 2007: Propust u SMS autorizaciji omogućila je napadačima ažuriranje statusa profila drugih korisnika putem tekstualnih poruka. Twitter je potom uveo opciju PIN koda kako bi rešio ovaj problem.

Avgust 2008: Sajber-krimiminalci su napravili veb stranicu sa reklamom sa erotski video. Klik na sliku je inficirao računare korisnika Trojancem downloader-om koji je bio predstavljan kao nova verzija Adobe Flash.

Februar 2009: Clicjacking napadi postaju učestaliji. Korisnici Twitter-a se susreću sa linkovima u statusnim porukama sa tekstom “Don't click,” koje se objavljuju sa naloga pratioca.

April 2009: Twitter je pogođen različitim varijanatama XXS (cross-site scripting) kompjuterskih crva. Hiljade poruka koje sadrže ime “Mikeyy” (ime autora crva) objavljivane su zahvaljujući širenju crva.

April 2009: Francuski haker je uspeo da pristupi administrtorskom panelu Twitter-a i ostavri interni pristup nalozima poznatih ličnosti kao što su Britni Spirs ili Ešton Kučer.

Jun 2009: Twitter nalog čuvenog Gaja Kvasakija je preotet i potom se pokušala infekcija kompjutera 130000 pratilaca tog naloga zlonamernim programom pisanim za Mac i Windows.

Jul 2009: Nova varijanta Koobface-a omogućavala je širenje infekcije među korisicima Twitter-a. Kada bi korisnik zaraženog kompjutera pokušao da se prijavi na Twitter, Koobface bi preoteo sesiju i objavljivao tvit sa takvog naloga pokušavajući da zarazi pratioce tog korisnika.

Avgust 2009: Twitter nalog je korišćen kao komandni i kontrolni centar (C&C center) za bot mreže. Tvitovi su sadržali specijalan kod koji se preuzimao, dešifrirao i skladištio kao infektivna komponenta za ažuriranje zlonamernog softvera na prethodno zaraženim računarima.

Maj 2010: Otkriven bag koji je omogućio zlonamernim korisicima da prinude ostale da ih prate.

Jun 2010: Twitter je postigao dogovor sa američkom Federalnom trgovinskom organizacijom o preduzimanju brojnih koraka koji bi učinili bezbednijim korisničke podatke. Jedna od mera na čiju se primenu Twitter tom prilikom obavezao je revizija bezbednosti na svake dve godine.

Septembar 2010: Otkriven takozvani “MouseOver” exploit (vidi u Rečniku: exploit). Samo prelazak mišem preko zlonamernog tvita bio je dovoljan za pokretanje crva, što bi na kraju rezultiralo objavom istog takvog tvita sa naloga prevarenog korisnika. Exploit je potom korišćen za objavljivanje pop-up oglasa i linkova ka pornografskim sajtovima.

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

X tužen za kršenje zakona zbog korišćenja podataka korisnika za obuku AI bez njihove dozvole

X tužen za kršenje zakona zbog korišćenja podataka korisnika za obuku AI bez njihove dozvole

Evropski neprofitna organizacija za zaštitu privatnosti NOYB (None of Your Business) podnela je devet žalbi protiv X-a (Twitter) u kojima navodi da ... Dalje

Meta i Google su imali tajni dogovor o reklamama koje bi se prikazivale deci na YouTubeu

Meta i Google su imali tajni dogovor o reklamama koje bi se prikazivale deci na YouTubeu

Meta i Google su planirali (a navodno i sproveli) sada otkazanu tajnu kampanju na YouTubeu u okviru koje su tinejdžerima namerno prikazivane reklame ... Dalje

Facebook oglasi za AI alate za uređivanje slika vode do malvera koji krade lozinke

Facebook oglasi za AI alate za uređivanje slika vode do malvera koji krade lozinke

Trend Micro upozorava na oglase na Facebooku koji ciljaju korisnike koji traže AI alate za uređivanje slika i kradu njihove lozinke tako što ih pre... Dalje

EU primorala TikTok da zbog bezbednosti dece povuče novi program za TikTok Lite iz unije

EU primorala TikTok da zbog bezbednosti dece povuče novi program za TikTok Lite iz unije

TikTok je primoran da trajno povuče svoj program „Lite Rewards“ iz Evropske unije zbog zabrinutosti Evropske komisije zbog njegovog utica... Dalje

Američka vlada tužila TikTok zbog masovnog prikupljanja podataka dece mlađe od 13 godina

Američka vlada tužila TikTok zbog masovnog prikupljanja podataka dece mlađe od 13 godina

Američka vlada podnela je tužbu protiv popularne platforme TikTok i njene matične kompanije ByteDance, zbog masovnog kršenja zakona o privatnosti ... Dalje