Twitter: Isang Growing Security Minefield

Kasabay nito, ang mga antivirus vendor ay nagbabala ng mga bagong pag-atake sa phishing na kumakalat sa pamamagitan ng Twitter. Gamit ang mga account ng Twitter, ang mga phisher ay susunod sa mga gumagamit at pagkatapos ay mahawahan ang mga ito sa pamamagitan ng isang link sa isang pekeng pahina ng profile na may karahasan sa malware. Tulad ng instant messaging, MySpace, at Facebook bago ito, ang Twitter ay may edad na.

Matapos ang tatlong taon ng relatibong tahimik na pag-unlad at pag-unlad, ang pagtaas ng serbisyo sa 2009 ay magaspang. Bukod sa pag-iisyu ng mga isyu dahil sa pag-agos ng mga bagong gumagamit, noong Enero isang Twitter hack ang naka-kompromiso sa mga account ng 33 na mataas na profile na gumagamit, kabilang si Pangulong Barack Obama, CNN anchor Rick Sanchez, at entertainer na si Britney Spears. upang alisin ang malware mula sa iyong Windows PC.

Noong Abril, ang isang worm na Twitter na kilala bilang "Mikeyy" o "StalkDaily" ay umunlad sa ulo nito. Katulad ng 2005 Samy worm sa MySpace, ang Mikeyy worm ay isinulat ng isang 17 taong gulang na sinamantala ng code quirk upang makilala ang kanyang Web site, StalkDaily.com. Naka-shut down ang Twitter - kasama ang ilang mga follow-up na mga virus ("Paano mag-alis ng bagong Mikeyy worm!") - medyo mabilis. Pagkatapos ng pag-atake ng uod, ang cofounder na si Biz Stone ay sumulat sa blog ng kumpanya, "Ang Twitter ay tumatagal ng seguridad ng sineseryoso at susundan namin ang lahat ng mga front."

Mga Panganib na URL-URL

Kahambing sa paglago ng Twitter ay ang paglawak ng mga serbisyo ng pagpapaikli ng URL. Ang pag-angkop ng iyong mga saloobin sa 140 mga character ay tumatagal ng kasanayan; kasama na ang mga buong URL ay halos imposible. Karaniwan ang mga URL ay dapat ma-truncated sa pamamagitan ng mga serbisyo tulad ng Bit.ly at TinyURL.com, na maskara din sa tunay na patutunguhang URL at maaaring ipakita ang kanilang sariling mga problema sa seguridad bilang isang resulta.

Ang unang mga palatandaan ng pinaikling-URL na problema ay dumating sa isang pares ng Twitter worm na ipinangako upang tulungan ang mga user na tanggalin ang Mikeyy worm. Noong Hunyo, ang isang wave ng mga nakatagong poisoned na URLs ay nakakuha ng Twitter, gamit ang mga link na Bit.ly sa low.cc at myworlds.mp na mga domain kung saan hiniling ang mga user na mag-download ng isang file na tinatawag na free-stream-player-v_125.exe upang tingnan ang isang video. Ang file na gaganapin malware. Bit.ly at TinyURL ay tumutugon sa mga ulat ng pang-aabuso; Bit.ly, para sa isa, ngayon ang mga bloke ng mga low.cc at myworlds.mp domain.

Hindi bababa sa isang produkto ng seguridad, ZoneAlarm, hinaharangan ang access sa TinyURL.com sa pamamagitan ng default, na naglilista dito bilang potensyal na nakakahamak na site (maaari mong i-unblock ito). Mayroon ka pang ibang mga paraan upang protektahan ang iyong sarili, masyadong. May tampok na preview ang TinyURL, at ang Firefox ay may isang bit.ly preview add-on. Ang ilang mga apps ng Twitter, tulad ng TweetDeck at Tweetie, ring i-preview ang URL bago ka mag-click.

Security researcher na si Aviv Raff ay itinalagang Hulyo 2009 bilang "A Month of Twitter Bugs," kung saan ang mga mananaliksik ay magbubunyag ng isang bagong Twitter kahinaan sa bawat araw. Sa pagbanggit sa mga naunang pagsisikap na nakatuon sa mga browser at sa mga kahinaan ng Apple Mac OS, sinabi ni Raff na ang kanyang layunin ay hindi upang masira ang Twitter ngunit upang mapabuti ito at upang matugunan ang lahat ng mga panlabas na panlipunang networking: "Umaasa ako na ang Twitter at iba pang mga provider ng Web 2.0 API ay gagana malapit sa kanilang Mga mamimili ng API upang bumuo ng mas secure na mga produkto. " Ang unang isiwalat na Twitter bug ang nag-uugnay sa cross-site scripting flaws sa Bit.ly. Sa loob ng ilang oras ng pagsisiwalat, naitama sa kanila ang Bit.ly.

Follow Me, Please

Ang isang madalas na layunin ng mga tagapangulo ay upang bumuo ng isang madla; ang ilang mga tao rate ng kanilang profile ng isang tagumpay kung ito ay may daan-daang o kahit libo-libong mga tagasunod. Ang isang site na tinatawag na TwitterCut na-advertise na ito ay higit na madagdagan ang iyong base ng mga tagasunod - kung ibinigay mo ito sa iyong user name at password. Ang karamihan sa mga nagbebenta ng seguridad ay itinuring na isang pay-per-click na scam.

Ang mga taong nahulog para sa scam ay nakakita sa kanilang mga Twitter account na ginamit sa "phishing attack" na Best Video, kung saan sinumang bumisita sa isang link sa tweet ang nag-download isang nakakahamak na PDF na sinubukang mag-install ng isang pekeng produkto ng seguridad kung ang PC ay kulang sa pinakabagong pag-update ng seguridad ng Adobe.

Nawala ang Phishing

Karamihan sa mga pagtatangka sa phishing ng Twitter, gayunpaman, ay mas matapat. Ang Twitter ay regular na nagpapaalam sa mga gumagamit ng mga kamakailang tagasunod sa pamamagitan ng e-mail, madalas na may isang link sa profile ng tagasunod. Ang kamakailang pag-atake sa phishing ay nagsimula sa e-mail at may link sa isang kamalian sa pahina ng pag-log sa Twitter.

Ang isa pang pagkakaiba-iba ng scam scam ay nagpadala ng pagbabasa ng tweet, "Hey, tingnan ang nakakatawang blog tungkol sa iyo." Ang pag-click sa URL ay kinuha ang biktima sa isang pekeng pahina (sa twitter.access-logins.com/login/). Hindi mahalaga kung gaano kahusay ang site hitsura, suriin ang URL, at mag-isip ng dalawang beses tungkol sa pagpasok ng iyong impormasyon - lalo na kung naka-naka-log in ka sa Twitter.

Bad guys ay may tried mas-mapaglalang taktika, masyadong, tulad ng porn- pangalan ng laro. Ayon sa laro, upang lumikha ng pangalan na gagamitin mo sa panahon ng iyong karera sa pang-adultong pelikula, kinuha mo ang pangalan ng iyong unang alagang hayop at pagsamahin ito sa kalye na lumaki ka sa, pangalan ng dalaga ng iyong ina, o modelo ng iyong sasakyan. Kilalanin ang mga bagay na iyon? Ang mga ito ay karaniwang mga tanong sa seguridad. Sa pamamagitan ng pag-tweet sa iyong mga sagot, maaari mong bawiin ang access sa iyong Twitter account - o sa iyong bank account.

Ang ilan sa mga umuusbong na patakaran sa seguridad para sa paggamit ng Twitter ay karaniwang pag-iisip. Tulad ng hindi mo nag-iwan ng isang mensahe sa telepono na nagsasabi na wala ka sa bayan, huwag i-tweet ang iyong mga plano sa bakasyon. At mangyaring huwag ibahagi ang iyong lokasyon kung ikaw ay isang U.S. congressperson na nagpapatuloy sa kumpidensyal na biyahe sa ibang bansa. Tanungin lamang ang kinatawan ng Pete Hoekstra (R-MI), na nag-tweet nang mas maaga sa taong ito: "Lamang nakarating sa Baghdad. Naniniwala ako na maaaring [ang unang pagkakataon na nagkaroon ako ng serbisyong] sa Iraq."