شماره: IRCNE200908359
يك برنامه نويس و توليد كننده نرم افزار امروز ادعا كرد كه يك آسيب پذيري در سرويس مشهور ميكروبلاگ Twitter همچنان اصلاح نشده باقي مانده و ميتواند توسط مجرمان اينترنتي براي سرقت حسابهاي كاربري يا فرستادن كاربران به سايتهاي خرابكار مورد استفاده قرار گيرد. اين نويسنده نرم افزار اظهار داشت كه Twitter حفره امنيتي را كه وي روز سه شنبه كشف كرده است به خوبي ترميم نكرده است.
اين نقص امنيتي CSS در Twitter به هكرها اجازه ميدهد كه جاوا اسكريپت خرابكار را به پيغامهاي كاربران اضافه نمايند. اين كار به سادگي و با افزودن يك فيلد به API مورد استفاده توسط توليد كنندگان نرم افزارهاي Twitter انجام ميشود. توليد كنندگان نرم افزار با استفاده از اين API و از طريق لينكهاي پنهان در پيغامهاي توليد شده توسط نرم افزار آنها، كاربران Twitter را به وب سايتهاي خود منتقل ميكنند. اين لينك در پايين هر پيغام مشاهده ميشود.
كمي پس از اينكه روز سه شنبه اين آسيب پذيري توسط اين برنامه نويس افشا شد، يكي از مديران Twitter اعلام كرد كه اين سرويس، اين حفره امنيتي را برطرف كرده است. اما روز گذشته بار ديگر اين برنامه نويس ادعا كرد كه اين حفره هنوز كاملا ترميم نشده است.
وي همچنين توصيه كرد كه تا زمانيكه Twitter اين نقص امنيتي را كاملا برطرف نكرده است، كاربران بايد نسبت به آن دسته از اعضاي ليست دوستان خود در اين سايت كه آنها را كاملا از نزديك نميشناسند و به آنها اعتماد كامل ندارند احتياط نمايند. وي همچنين اظهار داشت ممكن است به نظر برسد كه اين افراد به شما ضرري نميرسانند، ولي چه كسي ميتواند ادعا كند كه اطلاعات شما توسط آنها به سرقت نميرود؟
Twitter ماه گذشته را با مجموعه اي از مشكلات امنيتي گذرانده است. سه هفته قبل اين سايت هدف حملات DDOS قرار گرفته و براي چند ساعت بطور كلي از كار افتاده بود.
اخبار مرتبط:
Twitter باز هم از كار افتاد
Twitter به اتاق فرمان botnet ها تبديل شد
- 3