Официальное объяснение о активной XSS-уязвимости в Twitter

Администрация сервиса микроблогов Twitter опубликовала официальное объяснение о активной XSS-уязвимости в Twitter — так называемой уязвимости ”onmouseover”, которая вчера поразила веб-сайт Twitter.com.

В официальном сообщении Боб Лорд, член группы безопасности Twitter, сообщает о хронологии атаки, ее исходных причинах и охвате.

Злонамеренные пользователи, используя межсайтовый скриптинг (XSS-уязвимость), автоматически перенаправляли блогеров на другие веб-сайты, а также автоматически рассылали приглашения другим пользователям с целью их привлечения на сайт Twitter.

Этот тип атаки особенно опасен, потому что ему подвержены все, кто просто наводил указатель мыши на ссылку на странице сайта. В некоторых случаях, обычного посещения сайта Twitter было достаточно для создания шаблонов автоматической рассылки твитов.

Администрация Twitter говорит, что обнаружила дыру, которая привела к подобной атаке, еще в прошлом месяце и исправила уязвимость. Однако, недавнее обновление сайта (как подчеркивает администрация Twitter, оно не имело отношения к новому сайту Twitter) привело к повторному появлению уязвимости.

Данная атака повлияла только на пользователей Twitter.com, и не затронула пользователей мобильного веб-сайта или других сторонних приложений Twitter. Администрация Twitter говорит, что была уведомлена о проблеме в системе безопасности в 2:54 ночи и исправила самые значительные проблемы уже к 7:00 утра.

Служба микро-блогов сообщает, что скорее всего атака была произведена как шутка или в целях рекламы. Лорд пишет, что администрации Twitter не известно о каком-либо негативном влиянии на компьютеры пользователей или на их учетные записи. Личные данные учетных записей пользователей не были под угрозой, поэтому смена пароля не обязательна.

Хотя и очевидно, что данная атака была просто сильно раздражающим инцидентом, а не каким-либо серьезным повреждением, это событие — хорошая демонстрация того, как быстро можно навредить даже большому веб-сайту. Ради блага Twitter мы надеемся, что администрация Twitter будет проводить больше проверок соответствия спецификациям при применении патчей, чтобы избежать подобных инцидентов в будущем.

Хочу напомнить, что касается количества пострадавших, то системы наблюдения "Лаборатории Касперского" фиксировали примерно 100 зараженных пользователей в секунду. Таким образом, за примерно полтора часа, от действия червей могли пострадать около полумиллиона пользователей Twitter.