Peti rođendan Twittera – istorija bezbednosnih propusta i napada

Društvene mreže, 24.03.2011, 08:35 AM

Peti rođendan Twittera – istorija bezbednosnih propusta i napada

Ove nedelje Twitter slavi peti rođendan. Od svog osnivanja u julu 2006. godine ovaj mikro-bloging servis postao je sastavni deo svakodnevnice mnogih ljudi. Twitter je takođe, u tom periodu, bio izvorište nekoliko napada zlonamernim programima, a i danas je jedan od omiljenih vektora napada sajber-kriminalaca.

Bezbednost na Twitter-u ima je burnu istoriju, uprkos tome što je reč o relativno mladoj platformi. Bilo je različitih vrsta napada, od takozvanih trending topics (aktuelnih tema) preko hakovanja administracije pa do preotimanja naloga. Zbog popularnosti Twitter-a i stalnih propusta u bezbednosti, američka Federalna trgovinska organizacija (Federal Trade Commission, FTC) podnela je prijavu protiv Twitter-a 2010. godine. To je rezultiralo time da je kompanija bila prinuđena da usvoji brojna nova pravila na polju bezbednosti, uključujući i opcije koje se tiču bezbednosti kao što je podrazumevana SSL konekcija i OAUTH podrška za eksterne Twitter klijente.

Kaspersky Laboratorija je objavila hronološki pregled nekih od najznačajnijih događaja u bogatoj istoriji bezbednosti mikro-bloging servisa:

April 2007: Propust u SMS autorizaciji omogućila je napadačima ažuriranje statusa profila drugih korisnika putem tekstualnih poruka. Twitter je potom uveo opciju PIN koda kako bi rešio ovaj problem.

Avgust 2008: Sajber-krimiminalci su napravili veb stranicu sa reklamom sa erotski video. Klik na sliku je inficirao računare korisnika Trojancem downloader-om koji je bio predstavljan kao nova verzija Adobe Flash.

Februar 2009: Clicjacking napadi postaju učestaliji. Korisnici Twitter-a se susreću sa linkovima u statusnim porukama sa tekstom “Don't click,” koje se objavljuju sa naloga pratioca.

April 2009: Twitter je pogođen različitim varijanatama XXS (cross-site scripting) kompjuterskih crva. Hiljade poruka koje sadrže ime “Mikeyy” (ime autora crva) objavljivane su zahvaljujući širenju crva.

April 2009: Francuski haker je uspeo da pristupi administrtorskom panelu Twitter-a i ostavri interni pristup nalozima poznatih ličnosti kao što su Britni Spirs ili Ešton Kučer.

Jun 2009: Twitter nalog čuvenog Gaja Kvasakija je preotet i potom se pokušala infekcija kompjutera 130000 pratilaca tog naloga zlonamernim programom pisanim za Mac i Windows.

Jul 2009: Nova varijanta Koobface-a omogućavala je širenje infekcije među korisicima Twitter-a. Kada bi korisnik zaraženog kompjutera pokušao da se prijavi na Twitter, Koobface bi preoteo sesiju i objavljivao tvit sa takvog naloga pokušavajući da zarazi pratioce tog korisnika.

Avgust 2009: Twitter nalog je korišćen kao komandni i kontrolni centar (C&C center) za bot mreže. Tvitovi su sadržali specijalan kod koji se preuzimao, dešifrirao i skladištio kao infektivna komponenta za ažuriranje zlonamernog softvera na prethodno zaraženim računarima.

Maj 2010: Otkriven bag koji je omogućio zlonamernim korisicima da prinude ostale da ih prate.

Jun 2010: Twitter je postigao dogovor sa američkom Federalnom trgovinskom organizacijom o preduzimanju brojnih koraka koji bi učinili bezbednijim korisničke podatke. Jedna od mera na čiju se primenu Twitter tom prilikom obavezao je revizija bezbednosti na svake dve godine.

Septembar 2010: Otkriven takozvani “MouseOver” exploit (vidi u Rečniku: exploit). Samo prelazak mišem preko zlonamernog tvita bio je dovoljan za pokretanje crva, što bi na kraju rezultiralo objavom istog takvog tvita sa naloga prevarenog korisnika. Exploit je potom korišćen za objavljivanje pop-up oglasa i linkova ka pornografskim sajtovima.

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Australija planira da zabrani društvene mreže za mlađe od 16 godina

Australija planira da zabrani društvene mreže za mlađe od 16 godina

Australijska vlada će doneti zakon o zabrani društvenih mreža za decu mlađu od 16 godina. Premijer Australije, Entoni Albaneze, je rekao da predl... Dalje

Kanada zabranila TikTok zbog ''rizika za nacionalnu bezbednost''

Kanada zabranila TikTok zbog ''rizika za nacionalnu bezbednost''

Kanadska vlada je naložila TikToku da prekine svoje poslovanje u zemlji, navodeći kao razlog „specifične rizike za nacionalnu bezbednost&ldq... Dalje

Instagram planira da koristi veštačku inteligenciju da bi sprečio tinejdžere da lažu o godinama

Instagram planira da koristi veštačku inteligenciju da bi sprečio tinejdžere da lažu o godinama

Meta je objavila kako planira da koristi veštačku inteligenciju za tinejdžere koji lažu o svojim godinama na Instagramu. Početkom sledeće godin... Dalje

Preko lažnih oglasa hakeri otimaju Facebook naloge koje koriste za širenje SYS01 InfoStealer malvera

Preko lažnih oglasa hakeri otimaju Facebook naloge koje koriste za širenje SYS01 InfoStealer malvera

Istraživači sajber bezbednosti iz Bitdefender Labsa upozoravaju na pokušaje zloupotrebe Metinine reklamne platforme i otimanje Facebook naloga koji... Dalje

LinkedIn kažnjen sa 310 miliona evra zbog kršenja privatnosti korisnika

LinkedIn kažnjen sa 310 miliona evra zbog kršenja privatnosti korisnika

Irska komisija za zaštitu podataka (DPC) kaznila je LinkedIn sa 310 miliona evra zbog kršenja privatnosti svojih korisnika sprovođenjem bihevioraln... Dalje