Splet Twitter morda ni več varen in uporabniki bodo morda želeli zaenkrat razmisliti le o tvitanju in brskanju po aplikacijah tretjih oseb. Da, vem, obstajajo različne težave pri uporabi česar koli tretje osebe.
Čez vikend so poročali o dveh črvih na Twitterju:
- Če je v soboto uporabnik s spleta Twitter pristal na okuženi strani profila Twitterja, se je okužil tudi profil tega uporabnika. Črv bi prevzel uporabnikov račun in ga uporabil za pošiljanje neželenih promocij za StalkDaily.com. 17-letni Newyorčan po imenu Mikeyy Mooney naj bi prevzel odgovornost za tega črva.
- Danes je bilo poroča Mashable, da drugi črv dejansko imenovan "Mikeyy", je dosegel Twitter. Glede na poročilo je črv "Mikeyy" objavljal sporočila v tokove Twitterja z uporabo iste tehnike kot StalkDaily. Eno od sporočil celo posmehuje Twitterju zaradi njegovih varnostnih pomanjkljivosti: "Twitter bi res moral to popraviti ..."
Ti so vplivali samo na uporabnike Twitterja, ki brskajo po profilih prek spleta Twitter. Medtem ko sta bila oba črva uporabljena samo za nekakšno "oglaševalsko programsko opremo" za Twitter, obstaja veliko večja težava. Ni pomembno, da ti črvi niso bili zlonamerni. Pomembno je, da so odprta vrata, za katera se zdi, da jih Twitter ne more zapreti. Storitev mikroblogiranja je v soboto zvečer poročala, da je težavo odpravila. Jasno je, da glede na razširjenost današnjega črva to ni bilo res ali pa jih je bilo čez glavo.
"Nekdo je očitno nagnjen k temu, da bo lastnino Twitterja nenehno napadal," je dejal Damon Cortesi od Alchemy Varnost. "Zdi se, da je Twitter postal žrtev osredotočanja na funkcije in nima vzpostavljenega zanesljivega in ponovljivega varnostnega postopka, ki bi pomagal preprečiti varnostne napake."
Cortesi se strinja, da so ti napadi bolj nadloga kot karkoli drugega, vendar tudi navaja, da glede na šibkost narava varnosti Twitterja bi lahko motivirani kriminalec izkoristil podoben napad, da bi naredil več poškodbe.
"Varnost je stalen del vzdrževanja pri razvoju programske opreme in jo je treba nenehno obravnavati, ko se odkrijejo novi vektorji napadov in težave. Ko projekti postajajo bolj zapleteni, se povečujejo tudi potencialni napadi," je dejal Cortesi. "Za zaščito pred sedanjimi in prihodnjimi napadi je potreben močan proces razvoja programske opreme, ki vključuje stalen varnostni pregled in testiranje."
Naprej: Zakaj se to dogaja? -->
Zakaj se to dogaja?
"Kjer je programska oprema, so tudi hrošči. Twitter ima omejeno število vnosnih vektorjev, v nasprotju s spletnim mestom, kot je MySpace, ki uporabnikom omogoča, da prilagodijo svoj HTML in CSS na večjo obsegu," je nadaljeval Cortesi." Kot rečeno, če se ugotovi nova metoda kodiranja nekega parametra, ki lahko obide trenutne filtre, je mogoče. To bi lahko omogočila tudi napaka v okviru (Ruby on Rails), ki poganja Twitterjev sprednji del. Različne nadgradnje spletnega mesta in spremembe kode lahko povzročijo tudi napake."
Seveda so aplikacije tretjih oseb prav tako – če ne še bolj – dovzetne za tovrstne varnostne težave. Precej verjetno je, da se bodo napadalci lotili tovrstnih aplikacij Adobe Air, če še niso, da bi pridobili dostop do uporabniških računov prek Twitter API-ja. Cortesi poudarja, da so ranljive tudi storitve tretjih oseb, ki se uporabljajo na Twitterju, kot sta Twitpic in storitve preusmeritve URL-jev.
"Verjetno so prav tako zaposleni kot Twitter, ki preprosto poskušajo ohraniti delovanje svojih storitev in dodati nove funkcije," je dejal. "Medtem ko se druga spletna mesta redno ukvarjajo s skriptiranjem med spletnimi mesti, so spletna mesta družbenih omrežij izpostavljena veliko večjemu tveganju zaradi tipičnega načina interakcije uporabnikov. Strašljiv dan je, ko lahko ogledovanje profila nekoga prevzame vaš brskalnik."
Soustanovitelj Twitterja Biz Stone je danes objavil blog s podrobnostmi o napadih črva in navedbo, da podjetje to jemlje zelo resno:
Še vedno pregledujemo vse podrobnosti, pospravljamo in ostajamo v pripravljenosti. Vsakič, ko se borimo proti napadu, ocenimo naše prakse spletnega kodiranja, da se naučimo, kako jih lahko preprečimo v prihodnosti. Izvedli bomo popoln pregled aktivnosti ob koncu tedna. Zajeto bo vse od tega, kako se je zgodilo, kako smo reagirali in preventivnih ukrepov.
Zaupanje uporabnikov v varnost Twitterja pa je upravičeno zmanjšano, še posebej po tem vikendu. Malo verjetno je, da bo veliko ali katerikoli uporabnik prenehal uporabljati storitev na podlagi teh težav, na kar napadalci računajo. In ko postaja Twitter vse bolj priljubljen in se še naprej podpisuje več uglednih posameznikov in organizacij naprej, ima podjetje povečan pritisk in odgovornost, da pridobi svoj varnostni akt skupaj.