Уразливість в сервісі TweetDeck створила загрозу для користувачів Twitter

Twitter намагається усунути уразливість на популярному додатку TweetDeck, яка дає хакерам можливість показувати користувачам дивні спливаючі повідомлення і поширювати потенційно шкідливий код. Про це повідомляє видання USA Today.

Так звана XSS-уразливість (cross-site scripting - міжсайтовий скриптинг) є досить поширеною у веб-додатках. Вона дозволяє впровадити в інтернет-сторінку, яку сервіс видає користувачеві, той чи інший довільний код, можливо - шкідливий. Цілі хакерів при експлуатації такої вразливості можуть змінюватись - від несанкціонованого розміщення реклами до перехоплення логінів і паролів користувача.

У випадку з TweetDeck, який з 2011 року належить компанії Twitter, користувачі бачать спливаючі повідомлення, наприклад Yo! або Please close now TweetDeck, it is not safe. Крім того, сервіс у випадковому порядку ретвитит повідомлення з потенційно шкідливим кодом. Масштаби інциденту не уточнюються.

«Ми тимчасово закрили доступ до сервісу TweetDeck після виявлення уразливості», - оголосили адміністратори TweetDeck напередодні у своєму Twitter-акаунті. Під загрозою опинилися десктопное Windows-додаток TweetDeck і веб-версія.

Передбачається, що інцидент спровокував 19-річний австрійський програміст. Він експериментував з символами в коді і виявив уразливість, яка дозволяла вставляти комп'ютерні команди в твіти. Програміст сповістив адміністрацію Twitter і розповів про знахідку в онлайн-блозі. Однак інші хакери встигли скористатися помилкою до того, як Twitter ee усунув.

За словами представників TweetDeck, вразливість була ліквідована і користувачам рекомендувалося вийти з сервісу і знову зайти, використовуючи свої дані. Однак, за словами експерта з інфобезпеки з компанії Rapid7 Трея Форда, наслідки помилки у вигляді твітів з шкідливим кодом як і раніше поширюються на сервісі. Тому до повного усунення проблеми користувачам рекомендується «відв'язати» сервіс TweetDeck від свого Twitter-аккаунта.

TweetDeck - це безкоштовний сервіс-клієнт для публікації і читання повідомлень у Twitter. Він доступний для комп'ютерів Mac і ПК, смартфонів iPhone, Android-пристроїв, і у вигляді додатку для браузера Google Chrome. Сервіс був найпопулярнішим з сторонніх додатків для роботи з Twitter, і сам Twitter купив у 2011 році за 40 мільйонів доларів.

По материалам: LENTA.RU

Автор: Евгений Плотский | Дата публикации: 12.06.14 |

Комментарии

Комментировать

ВКонтакте
FaceBook