Peti rođendan Twittera – istorija bezbednosnih propusta i napada

Društvene mreže, 24.03.2011, 08:35 AM

Peti rođendan Twittera – istorija bezbednosnih propusta i napada

Ove nedelje Twitter slavi peti rođendan. Od svog osnivanja u julu 2006. godine ovaj mikro-bloging servis postao je sastavni deo svakodnevnice mnogih ljudi. Twitter je takođe, u tom periodu, bio izvorište nekoliko napada zlonamernim programima, a i danas je jedan od omiljenih vektora napada sajber-kriminalaca.

Bezbednost na Twitter-u ima je burnu istoriju, uprkos tome što je reč o relativno mladoj platformi. Bilo je različitih vrsta napada, od takozvanih trending topics (aktuelnih tema) preko hakovanja administracije pa do preotimanja naloga. Zbog popularnosti Twitter-a i stalnih propusta u bezbednosti, američka Federalna trgovinska organizacija (Federal Trade Commission, FTC) podnela je prijavu protiv Twitter-a 2010. godine. To je rezultiralo time da je kompanija bila prinuđena da usvoji brojna nova pravila na polju bezbednosti, uključujući i opcije koje se tiču bezbednosti kao što je podrazumevana SSL konekcija i OAUTH podrška za eksterne Twitter klijente.

Kaspersky Laboratorija je objavila hronološki pregled nekih od najznačajnijih događaja u bogatoj istoriji bezbednosti mikro-bloging servisa:

April 2007: Propust u SMS autorizaciji omogućila je napadačima ažuriranje statusa profila drugih korisnika putem tekstualnih poruka. Twitter je potom uveo opciju PIN koda kako bi rešio ovaj problem.

Avgust 2008: Sajber-krimiminalci su napravili veb stranicu sa reklamom sa erotski video. Klik na sliku je inficirao računare korisnika Trojancem downloader-om koji je bio predstavljan kao nova verzija Adobe Flash.

Februar 2009: Clicjacking napadi postaju učestaliji. Korisnici Twitter-a se susreću sa linkovima u statusnim porukama sa tekstom “Don't click,” koje se objavljuju sa naloga pratioca.

April 2009: Twitter je pogođen različitim varijanatama XXS (cross-site scripting) kompjuterskih crva. Hiljade poruka koje sadrže ime “Mikeyy” (ime autora crva) objavljivane su zahvaljujući širenju crva.

April 2009: Francuski haker je uspeo da pristupi administrtorskom panelu Twitter-a i ostavri interni pristup nalozima poznatih ličnosti kao što su Britni Spirs ili Ešton Kučer.

Jun 2009: Twitter nalog čuvenog Gaja Kvasakija je preotet i potom se pokušala infekcija kompjutera 130000 pratilaca tog naloga zlonamernim programom pisanim za Mac i Windows.

Jul 2009: Nova varijanta Koobface-a omogućavala je širenje infekcije među korisicima Twitter-a. Kada bi korisnik zaraženog kompjutera pokušao da se prijavi na Twitter, Koobface bi preoteo sesiju i objavljivao tvit sa takvog naloga pokušavajući da zarazi pratioce tog korisnika.

Avgust 2009: Twitter nalog je korišćen kao komandni i kontrolni centar (C&C center) za bot mreže. Tvitovi su sadržali specijalan kod koji se preuzimao, dešifrirao i skladištio kao infektivna komponenta za ažuriranje zlonamernog softvera na prethodno zaraženim računarima.

Maj 2010: Otkriven bag koji je omogućio zlonamernim korisicima da prinude ostale da ih prate.

Jun 2010: Twitter je postigao dogovor sa američkom Federalnom trgovinskom organizacijom o preduzimanju brojnih koraka koji bi učinili bezbednijim korisničke podatke. Jedna od mera na čiju se primenu Twitter tom prilikom obavezao je revizija bezbednosti na svake dve godine.

Septembar 2010: Otkriven takozvani “MouseOver” exploit (vidi u Rečniku: exploit). Samo prelazak mišem preko zlonamernog tvita bio je dovoljan za pokretanje crva, što bi na kraju rezultiralo objavom istog takvog tvita sa naloga prevarenog korisnika. Exploit je potom korišćen za objavljivanje pop-up oglasa i linkova ka pornografskim sajtovima.

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

TikTok kažnjen zbog štetnog sadržaja koji je preporučivan maloletnim korisnicima

TikTok kažnjen zbog štetnog sadržaja koji je preporučivan maloletnim korisnicima

Italijanska regulatorno telo za zaštitu konkurencije kaznilo je TikTok sa 10 miliona evra jer nije zaštitio korisnike od opasne igre poznate kao Fre... Dalje

Investicione prevare u reklamama na Facebooku

Investicione prevare u reklamama na Facebooku

Istraživači sajber bezbednosti iz firme Infoblox upozorili su korisnike na grupu Savvy Seahorse koja koristi Facebook reklame da bi prevarila korisn... Dalje

Prevaranti na X-u tražili donacije sa hakovanog naloga Metjua Perija

Prevaranti na X-u tražili donacije sa hakovanog naloga Metjua Perija

Zvanični nalog Metjua Perija na X-u (nekadašnji Twitter) je hakovan, a oni koji su to uradili zatražili su donacije od obožavalaca pokojnog glumca... Dalje

Od zabave do gubitka podataka: Mračna strana Facebook kvizova

Od zabave do gubitka podataka: Mračna strana Facebook kvizova

Sećate li se svih onih naizgled bezazlenih kvizova na društvenim mrežama? Iako su mnogima zabavni, oni su zapravo ozbiljan rizik za privatnost i b... Dalje

Evropska komisija pokreće istragu o TikToku zbog kršenja zakona EU o zaštiti i privatnosti dece

Evropska komisija pokreće istragu o TikToku zbog kršenja zakona EU o zaštiti i privatnosti dece

Evropska komisija otvorila je istragu o TikToku zbog sumnje da krši pravila Evropske unije o zaštiti dece, transparentnosti oglašavanja, pristupa p... Dalje