Уязвимость в сервисе TweetDeck создала угрозу для пользователей Twitter

 
Так называемая XSS-уязвимость (cross-site scripting — межсайтовый скриптинг) является достаточно распространенной в веб-приложениях. Она позволяет внедрить в интернет-страницу, которую сервис выдает пользователю, тот или иной произвольный код, возможно — вредоносный. Цели хакеров при эксплуатации такой уязвимости могут варьироваться — от неавторизованного размещения рекламы до перехвата логинов и паролей пользователя.
 

pic_9c6eb8578f240ee559a49ca0fd12f30c.jpg

 
В случае с TweetDeck, который с 2011 года принадлежит компании Twitter, пользователи видят всплывающие сообщения, к примеру Yo! или Please close now TweetDeck, it is not safe. Кроме того, сервис в случайном порядке ретвитит сообщения с потенциально вредоносным кодом. Масштабы инцидента не уточняются.
 
«Мы временно закрыли доступ к сервису TweetDeck после выявления уязвимости», — объявили администраторы TweetDeck накануне в своем Twitter-аккаунте. Под угрозой оказались десктопное Windows-приложение TweetDeck и веб-версия.
 
Предполагается, что инцидент спровоцировал 19-летний австрийский программист. Он экспериментировал с символами в коде и обнаружил уязвимость, которая позволяла вставлять компьютерные команды в твиты. Программист оповестил администрацию Twitter и рассказал о находке в онлайн-блоге. Однако другие хакеры успели воспользоваться ошибкой до того, как Twitter ee устранил.
 
По словам представителей TweetDeck, уязвимость была ликвидирована и пользователям рекомендовалось выйти из сервиса и снова зайти, используя свои данные. Однако, по словам эксперта по инфобезопасности из компании Rapid7 Трея Форда, последствия ошибки в виде твитов с вредоносным кодом по-прежнему распространяются на сервисе. Поэтому до полного устранения проблемы пользователям рекомендуется «отвязать» сервис TweetDeck от своего Twitter-аккаунта.
 
TweetDeck — это бесплатный сервис-клиент для публикации и чтения сообщений в Twitter. Он доступен для компьютеров Mac и ПК, смартфонов iPhone, Android-устройств и в виде приложения для браузера Google Chrome. Сервис был самым популярным из сторонних приложений для работы с Twitter, и сам Twitter его купил в 2011 году за 40 миллионов долларов.

Еще интересное

Специалисты антивирусной компании F-Secure рассказали о Java-трояне, который обнаружили на ноутбуке

В настоящее время переводчик поддерживает порядка 40 языков

Эксперты обнаружили подозрительную активность ресурсов в рамках продолжения операции «Operation Tango Down».
Компании Netwrix Corporation и Softprom подписали дистрибьюторское соглашение.
Социальная сеть профессионалов будет предлагать временные коды для 2-факторной аутентификации через SMS. Этот дополнительный шаг для авторизации должен уменьшить шансы взлома учетных записей LinkedIn.
Немецкое исследовательское агентство JACDEC опубликовало предварительные результаты рейтинга самых безопасных авиакомпаний планеты.