Уязвимость в сервисе TweetDeck создала угрозу для пользователей Twitter
13:15 12/06/2014 Интернет и СМИ
Twitter пытается устранить уязвимость в популярном приложении TweetDeck, которая дает хакерам возможность показывать пользователям странные всплывающие сообщения и распространять потенциально вредоносный код. Об этом сообщает издание USA Today.
Так называемая XSS-уязвимость (cross-site scripting — межсайтовый скриптинг) является достаточно распространенной в веб-приложениях. Она позволяет внедрить в интернет-страницу, которую сервис выдает пользователю, тот или иной произвольный код, возможно — вредоносный. Цели хакеров при эксплуатации такой уязвимости могут варьироваться — от неавторизованного размещения рекламы до перехвата логинов и паролей пользователя.
В случае с TweetDeck, который с 2011 года принадлежит компании Twitter, пользователи видят всплывающие сообщения, к примеру Yo! или Please close now TweetDeck, it is not safe. Кроме того, сервис в случайном порядке ретвитит сообщения с потенциально вредоносным кодом. Масштабы инцидента не уточняются.
«Мы временно закрыли доступ к сервису TweetDeck после выявления уязвимости», — объявили администраторы TweetDeck накануне в своем Twitter-аккаунте. Под угрозой оказались десктопное Windows-приложение TweetDeck и веб-версия.
Предполагается, что инцидент спровоцировал 19-летний австрийский программист. Он экспериментировал с символами в коде и обнаружил уязвимость, которая позволяла вставлять компьютерные команды в твиты. Программист оповестил администрацию Twitter и рассказал о находке в онлайн-блоге. Однако другие хакеры успели воспользоваться ошибкой до того, как Twitter ee устранил.
По словам представителей TweetDeck, уязвимость была ликвидирована и пользователям рекомендовалось выйти из сервиса и снова зайти, используя свои данные. Однако, по словам эксперта по инфобезопасности из компании Rapid7 Трея Форда, последствия ошибки в виде твитов с вредоносным кодом по-прежнему распространяются на сервисе. Поэтому до полного устранения проблемы пользователям рекомендуется «отвязать» сервис TweetDeck от своего Twitter-аккаунта.
TweetDeck — это бесплатный сервис-клиент для публикации и чтения сообщений в Twitter. Он доступен для компьютеров Mac и ПК, смартфонов iPhone, Android-устройств и в виде приложения для браузера Google Chrome. Сервис был самым популярным из сторонних приложений для работы с Twitter, и сам Twitter его купил в 2011 году за 40 миллионов долларов.
Комментирование разрешено только первые 24 часа.
Комментарии(8):
| 0 +0−0 | Дочь Путина | 18:02:18 12/06/2014 | ||||||
| ||||||||
Комментарий удалён. | ||||||||
| 0 +0−0 | Мария Фиронова | 13:23:00 12/06/2014 |
СЕКРЕТНЫЕ советские ТЕХНОЛОГИИ УПРАВЛЕНИЯ «Спутник», «Скалар», «КОМПАС» и «МПЭ» Освоив эти технологии, Вы: • овладеете четким пошаговым алгоритмом управления любой организацией с количеством персонала – 100, 1 000, 10 000 и более человек, • создадите систему управления, которая будет работать на Вас, • повысите мотивацию своих подчиненных без финансовых затрат, • повысите производительность труда Вашей организации на 38%, а соответственно и прибыль, • каждый работник Вашей организации будет работать по единой для всех технологии управления, не требующей получения дополнительных знаний в области менеджмента. Все, что у него будет под рукой – это четкая пошаговая инструкция, что он должен делать! Регистрируйся на сайте Ссылка на sputnik-scalar.ru и получи БЕСПЛАТНЫЕ материалы! | ||
| 0 +0−0 | WHIPPET | 13:20:16 12/06/2014 | ||||||
| ||||||||
Могут. но зачем рисковать если нет задания узнать? | ||||||||
| 0 +0−0 | игорь козлов | 12:58:10 12/06/2014 | ||||||
| ||||||||
Это ему не в лифтах фоткатся . Хакеры могут и номерок любовницы узнать .... (:smile:) | ||||||||
| 0 +0−0 | Elena Svistova | 12:55:28 12/06/2014 | ||||||
| ||||||||
Как такое могло произойти, представляете случайно нашла базу данных на каждого жителя нашей страны - Ссылка на waa.ai просто вводишь фамилию или имя — и сайт вам находит всю информацию про этого человека. Про себя нашла такое, что у меня аж глаза на лоб вылезли: переписки с друзьями, адреса, записи телефонных переговоров. Хорошо, что можно все это удалить, я конечно же сразу воспользовалась и вам советую не тянуть. А то мало-ли.. | ||||||||
| 0 +0−0 | WHIPPET | 12:42:20 12/06/2014 | ||||||
| ||||||||
плановая смена паролей(:cry:) | ||||||||
| 0 +0−0 | игорь козлов | 12:23:33 12/06/2014 |
Медведев попал . | ||