Twitter Clickjacking Attack powoduje irytację po rozdaniu nagród

Twitter Nation, odsuńcie się: Atak na klikanie, który nęka Twitter w ten czwartek, został naprawiony.

Niecałe 24 godziny po pierwszych oficjalnych nagrodach uhonorowanie użytkowników Twittera (i dla wszystkich sceptycznych typów innych niż Twittera, nie jestem robiąc to - to było nazywane Shorty Awards i MC Hammer tam był), ktoś rozpoczął jakiś wirus społeczny, który szybko rozprzestrzeniał się przez sieć.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Twitter Clickjacking: "Nie klikaj"

Błąd kliknięcia Twittera nie był tak naprawdę poważnym zagrożeniem, jak się wydaje, ale raczej drobnym rozdrażnieniem. Oto co się wydarzyło: ktoś wysłałby wiadomość z napisem "nie klikaj" wraz z zamaskowanym adresem URL. Po kliknięciu linku ta sama wiadomość zostanie automatycznie wysłana na Twoje konto na Twitterze. Wtedy jeden z twoich znajomych zobaczy wiadomość, stanie się ciekawy i kliknie, tworząc efekt podobny do wirusa.

"Nie klikaj" - dobra psychologia odwrotna najlepsza. Domyślam się, że te rzeczy naprawdę działają. (Uwaga dla siebie: Zacznij rozdawać numery telefonów atrakcyjnym pańkom z napisem "Nie dzwoń".)

Prawda za tweetowaniem

Więc co tu się naprawdę działo? Fajne koty w Sunlight Labs mówią, że chodziło tylko o iframe. "To, co robi ten" wirus ", tworzy element iframe strony, ukrywa go, a kiedy klikniesz ten przycisk i jesteś zalogowany na Twitterze, powoduje to wysłanie tej wiadomości (nawet jeśli jej nie widzisz), "Sunlight Labs Director Clay Johnson wyjaśnia na swoim blogu. "Nie ma w tym nic takiego jak javascript", mówi.

Tutaj można zobaczyć pełny kod błędu przetłumaczony na język angielski. Oczywiście wszystko, co możesz naprawdę zrobić, to przeczytać. To już nie zadziała.

Fixers na Twitterze

Zespół Twittera mógł zahamować błąd w ciągu kilku godzin. "Link do" nie klikaj "+ to" włamanie do kliknięcia "." CEO Twittera, Evan Williams, napisał około godziny 13:30. ET. "Nie klikaj tego. Napraw teraz," polecił jego tweet.

W ciągu kilku minut, inżynier ds. Operacji John Adams, znany lepiej jako "Netik", jego właściciel na Twitterze, ogłosił, że błąd został naprawiony.

"10 minut temu naprawiliśmy atak typu" kliknij, aby kliknąć "," zauważył. "Problem powinien już minąć".

Oficjalny blog Twittera zapewnia teraz lepszy wgląd:

"Na szczęście szkoda była ograniczona do ciągłego przesyłania linków, ale bardzo poważnie podchodzimy do złośliwych ataków na użytkowników Twittera i dziś rano przesłaliśmy aktualizację, która blokuje tę technikę klikania kliknięć. "

Whew. Przynajmniej możemy odpocząć, wiedząc, że Hammer był bezpieczny przed tą rzeczą. Ten facet jest zbyt dobry, by go kliknąć.

(Niestety, nie mogłem się oprzeć.)