Twitter грызут черви

Начиная с субботы пользователи Twitter испытывают на себе действие XSS-червей, написанных 17-летним владельцем конкурирующего сервиса. Специалисты по безопасности из Twitter третьи сутки заделывают лазейки, через которые пролезают черви.

По словам Микко Хиппонена (Mikko Hypponen) из компании F-Secure, в субботу некоторые пользователи сервиса начали жаловаться на то, что от их имени создаются записи, рекламирующие сайт StalkDaily.com. Их "френды", которым хватило ума пойти по ссылке, нарывались на действующий по этому адресу JavaScript, который использовал уязвимость XSS (межсайтовый скриптинг) для заражения их профилей на "Твиттере".

После этого сообщения с рекламой StalkDaily.com начинали автоматически рассылаться от вновь зараженных профилей. Более того, подцепить заразу пользователи "Твиттера" могли, просто просмотрев страничку с зараженным профилем.

Всего за выходные было три различных разновидности этого червя, использующие разные XSS-уязвимости: едва сотрудники Twitter отбивались от одного, как вскоре появлялся следующий. Хиппонен советует пользователям Twitter не заходить на другие профили, не ходить по ссылкам, а ещё лучше — попросту отключить исполнение JavaScript в браузере.

Владельцем StalkDaily.com оказался некий Майкл Муни (Michael Mooney), проживающий в Луизиане подросток. Редактору Net News Daily Скотту Кэмпбеллу (Scott Campbell) удалось с ним связаться и взять небольшое интервью.

Муни признался, что все три червя являются его творениями и что он написал их от скуки:

"Была середина ночи, и мне нечего было делать. Около недели назад я заметил XSS-уязвимость и решил её использовать".

Муни осознаёт, что доставил неприятности многим людям, и даже сильно сожалеет об этом, однако говорит, что это не он "тот, кто оставил уязвимость". Дырой мог воспользоваться кто-нибудь другой, и при этом запросто утянуть с зараженных учётных записей персональные данные — имя, электронную почту и номер мобильного телефона.

Буквально несколько часов назад появилась информация о новой, четвёртой по счёту атаке. Согласно свежему "твиту" Хиппонена, атаку начал юзер cleaningUpMikey. Пока не очень понятно, причастен ли к ней Муни.

В руководстве Twitter обещают принять самые решительные меры в связи с атаками. Вместо того чтобы напомнить общественности о фишерской атаке трёхмесячной давности, которая привела к взлому ряда Twitter-аккаунтов, и похвастаться решительными мерами по отношению к тогдашним злоумышленникам, один из основателей "Твиттера" Биз Стоун (Biz Stone) приводит в качестве примера историю с червём Samy, терроризировавшем пользователей MySpace в 2005 году. Позднее создателя Samy арестовали, признали виновным, наложили штраф и приговорили к трёхлетнему сроку пробации.

Сам Муни осознаёт, что может поплатиться свободой за свои действия, но "не беспокоится".

Также Муни уверяет, что не воровал приватных данных пользователей. Администрация Twitter тоже утверждает, что в результате атак не пострадали пароли, телефонные номера или другая критическая информация.

Впрочем, как выяснилось на той неделе, для того чтобы добраться до критической информации о пользователях этого микроблоггинга, вовсе не обязательно запускать в систему червей — сотрудники Twitter могут выдать её и сами.