На прошлой неделе Твиттер отметил свое 5-летие. За время, прошедшее с его появления в июле 2006 года, Твиттер с его 140 символами стал неотъемлемой частью повседневной жизни многих людей. Также Твиттер стал местом проведения множества массовых вредоносных атак — и по сей день успешно используется киберпреступниками.
Проблемы с безопасностью в Твиттере имеют богатую историю, несмотря на его относительно «молодой» возраст. Каких только атак не было в этой сети: и эксплуатация наиболее популярных тем, и взлом паролей администраторов, и захват пользовательских аккаунтов… Продолжать можно долго. Популярность Твиттера и постоянные проколы в его безопасности стали причиной того, что в 2010 году Федеральная комиссия по торговле выдвинула против Твиттера обвинения. В результате Твиттеру пришлось ввести в действие новые политики безопасности, предусматривающие такие средства защиты, как использование по умолчанию SSL-соединений и поддержка OAUTH для сторонних веб-приложений.
На этой диаграмме в хронологическом порядке показаны наиболее примечательные события в яркой истории безопасности Твиттера:
Апрель 2007
Уязвимость в системе SMS-аутентификации позволяет обновлять статус другого лица с помощью текстового сообщения. Для решения проблемы Твиттер вводит опцию аутентификации по PIN-коду.
Август 2008
Атака на Твиттер: киберпреступники создают специальную страницу с рекламой эротического видеоролика. Клик по фотографии приводит к заражению компьютера троянцем-загрузчиком, выдающим себя за новую версию Adobe Flash Player.
Февраль 2009
Распространение атак clickjacking («угона» кликов). Пользователи Твиттера видят в аккаунтах, на которые они подписаны, ссылки с пометкой «не кликать» (don’t click). Клики тех, кто переходит по ссылкам, захватываются злоумышленниками.
Апрель 2009
Твиттер атакуют многочисленные варианты XSS-червя (XSS – межсайтовый скриптинг). По мере распространения червя создаются тысячи сообщений, содержащих имя «Mikeyy» (ник его автора).
Апрель 2009
Французский хакер получает доступ к панели администратора Твиттера. Публикуются скриншоты, демонстрирующие, что злоумышленник получил внутренний доступ к аккаунтам многих знаменитостей, таких как Бритни Спирс и Эштон Катчер.
Июнь 2009
Захват популярных тем для распространения ссылок на вредоносные программы. Злоумышленники эксплуатируют систему популярных тем (trending topics) в Твиттере для заманивания пользователей на сайты, якобы содержащие эксклюзивные видеоролики, с целью заражения их компьютеров вредоносными программами.
Июнь 2009
В результате захвата Твиттер-аккаунта Гая Кавасаки (Guy Kawasaki) вредоносные программы для Windows и Mac рассылаются более чем 130,000 его подписчиков.
Июль 2009
Через Твиттер распространяется новая модификация червя Koobface. При попытке пользователя зараженного компьютера войти в Твиттер Koobface перехватывает сессию и отправляет от его имени твит с целью заразить его подписчиков.
Август 2009
Использование Твиттер-аккаунта в качестве командного центра ботнетов. Твиты содержат специальный код, который загружается на зараженные компьютеры, расшифровывается и сохраняется как компонент вредоносной программы для обновления вредоносного ПО на зараженных машинах.
Май 2010
Обнаружена ошибка, позволяющая киберпреступникам принудительно подписывать пользователей на свои Твиттер-аккаунты.
Июнь 2010
Твиттер приходит к соглашению с Федеральной комиссией по торговле, которая предъявила претензии к системе безопасности социальной сети, связанные с недостаточной защитой пользовательских данных. Одно из требований комиссии – проведение аудита безопасности дважды в год.
Сентябрь 2010
Обнаружена «onMouseOver»-уязвимость. Пользователю достаточно навести указатель мыши на вредоносное сообщение, чтобы запустился червь, размещающий это сообщение на странице пользователя. Эта же уязвимость затем используется для распространения всплывающей рекламы и ссылок на порнографические ресурсы.
Твиттер — Эволюция зловредов