Пользователи Tweetdeck стали жертвами XSS-атаки Статьи редакции
Пользователи клиента Tweetdeck для Twitter оказались жертвами масштабной XSS-атаки: в их браузерах появилось сообщение «XSS in tweetdeck», после чего приложение перестало работать.
Пользователи Twitter пожаловались на появление сообщений об XSS-атаке (cross-site scripting) на клиент Tweetdeck: в их запущенных веб-приложениях для Chrome и на сайте tweetdeck.twitter.com появилось сообщение «XSS in tweetdeck». Насколько известно настольное приложение для Mac OS X оказалось не затронутым атакой, однако пользоватети клиента для Windows также сообщили о срабатывании XSS-эксплойта.
Часть пользователей сообщает, что в уведомлениях также содержался некий текст — в том числе с призывами закрыть приложение. Возможно, XSS-атака была произведена в рамках исследования безопасности Tweedeck сторонними специалистами и не носит деструктивный характер, однако уязвимостью могут воспользоваться потенциальные злоумышленники.
Официальной информации от представителей Twitter пока не поступало.
Пока источник этой атаки и её последствия неизвестны, но на всякий случай рекомендуется озаботиться минимальными мерами безопасности. Для этого нужно перейти на twitter.com и отозвать доступ к приложению Tweetdeck в настройках аккаунта (или всех привязанных к приложению аккаунтов), а также не пользоваться Tweetdeck до тех пор, пока уязвимость не будет исправлена.
Tweetdeck user? Wondering what that XSS box was about? Sign out and revoke your account's access to Tweetdeck. Now.
— The Register (@TheRegister) June 11, 2014
XSS-уязвимость позволяет злоумышленникам исполнять Javascript-код в окне браузера. Поскольку приложение Tweetdeck для Chrome является обычной веб-страницей, оно оказалось подвержено этой атаке: возможно, речь идёт об уязвимости, обнаруженной ещё в 2011 году.
Обновлено 20:35: В Tweetdeck заявили, что XSS-уязвимость была устранена, и для полного восстановления необходимо выйти из аккаунта Tweetdeck, а затем войти снова.
A security issue that affected TweetDeck this morning has been fixed. Please log out of TweetDeck and log back in to fully apply the fix.
— TweetDeck (@TweetDeck) June 11, 2014
Обновлено 21:05: По всей видимости, уязвимость не была исправлена до конца. Появились твиты с десятками тысяч ретвитов (как, например, этот), которые продолжали использовать дыру в безопасности Tweetdeck.
Представители Tweetdeck заявили, что временно остановят работу всех своих сервисов до тех пор, пока ошибка в безопасности не будет исправлена.
We've temporarily taken TweetDeck services down to assess today's earlier security issue. We'll update when services are back up.
— TweetDeck (@TweetDeck) June 11, 2014
Обновлено 22:00: Все сервисы Tweetdeck снова работают.
We've verified our security fix and have turned TweetDeck services back on for all users. Sorry for any inconvenience.
— TweetDeck (@TweetDeck) June 11, 2014
Я не видел такого сообщения. Значит все ок?
У меня тоже все норм.
Все, ебанули уже. Пошел менять пароль.
Конечно, ты же няш-мяш, у тебя по должности всё ок.
У меня стоит приложение для хрома, тоже все ок!
У меня расширение стоит для хрома, тоже все ок
вроде все было хорошо, только закрыл страницу тж - на тебе
Клиент TweetDeck под Windows подвергся. В ленте появляется вот это
Комментарий удален модератором
Кажется, я знаю кто устроил атаку
сценарий класс!
Давайте хвастаться успехами.
Увидел в твиттере ссылку на эту статью. Пока читал, вылезло. После этого от меня был ретвитнут этот твит https://twitter.com/derGeruhn/status/476764918763749376
И здесь OS X > Windows.
В Мозилле все тихо и спокойно. Да и настольная версия не буянит вроде, но на всякий случай пока отозвал.
А если не используется веб-версия, а только десктопная?
На всякий случай отозвал доступ. Но сидел не через аккаунт твитдека, а просто через твиттер логин.
Кажется, вы путаете веб-версию и приложение для Chrome.
Комментарий удален модератором
А с помощью xss могли угнать почту, узнать пароль или только безобидный ретвит говна можно сделать?
твитдеск теперь не грузится. - 105 ошибку пишет
Они его выключили пока, насколько я понимаю.
А вообще масштаб атаки впечатляет. Твит с ява-скриптом в моей ленте был с овер 300K ретвитов.
А я просто пользуюсь твиттером в браузере и твитботом на иос, это нормально ?
тебе не хватает духовных скреп
появилось в приложении браузера, но pkill chromium спасло.
"Взлом сервиса осуществил 19-летнийавстралиец по имени Флориан (никнейм Firo). Ему удалось спроектировать социального сетевого червя, который заражал учетные записи пользователей и рассылал ретвиты. Специалист случайно обнаружил брешь в системе безопасности, когда напечатал «&hearts» (для изображения сердечка в HTML). Оказывается, это действие в TweetDeck позволяло давать команды компьютерной программе прямо через твиты. По словам Флориана, он вовсе не собирался ничего взламывать. «Все произошло случайно», — сказал он в интервью CNN."