Самой обсуждаемой интернет-темой этой недели стал сбой, произошедший с Twitter во вторник, когда пользователи сервиса стали свидетелями появления цветных сообщений, странных всплывающих окон, перенаправления на порно-ресурсы и самопроизвольных твитов.
Заголовки СМИ, растиражировавших эту новость, свидетельствовали о глобальной вирусной атаке на Twitter. И лишь спустя несколько дней стало ясно, что никакой атаки, в сущности, не было.
Всему виной – обнаруженная еще месяц назад ошибка в программном обеспечении сервиса, приводящая к тому, что в сообщение можно вставлять команды, написанные на языке программирования JavaScript. Мини-программа, обработанная браузером, могла производить в нем любые действия. И хотя "дыра" была устранена тогда же, при обновлении сервиса она появилась вновь.
Вновь уязвимость обнаружили ранним утром во вторник, и буквально за 5 часов жертвами этого просчета программистов стали полмиллиона пользователей популярного сервиса микроблогов. Ни о какой вирусной атаке речи не шло. Скорее это была шалость, которая, впрочем, благодаря самому свойству Twitter, мгновенно распространяющему любую информацию, приобрела характер эпидемии.
Отметим, что несмотря на шумиху, странное поведение Twitter коснулось лишь пяти процентов от общего числа пользователей сервиса. Дело в том, что уязвимость затрагивала только тех, кто заходил на веб-сайт Twitter, пользователей же мобильной версии ресурса, а так же сторонних приложений она не затронула. А по данным Twitter, таковых – большинство.
Очевидно, что первым, кто стал экспериментировать с дырой, стал японец Масато Кинугава, носящий в Twitter ник RainbowTwtr. Именно он в августе обнаружил уязвимость, и, узнав, что дыра появилась вновь, решил немного поиграться и начал раскрашивать свои твиты в разные цвета.
Невинная забава, поддержанная тысячами других твиттерян, привела к том, что другой пользователь, 17-летний австралиец Пирс Дельфин, опять же, шутки ради, начал вставлять в свои твиты куски кода, замаскированные под веб-ссылки, простое наведение на которые – без клика – приводило к открытию новых окон.
Еще один твиттерянен, норвежец Магнус Холм "научил" свои сообщения переотсылаться другими пользователями без их ведома: нужно было просто навести на пост курсор мыши.
Пользователь же под ником Peppery внес еще одну модификацию – для произвольного ретвита даже не нужно было наводить мышь на ссылку, это происходило после любого перемещения курсора по сайту.
Именно действия Peppery и привели к тому, что ссылка с внедренным в нее кодом, за считанные часы была растиражирована сотнями тысяч твиттерян. И лишь благодаря отсутствию злых намерений у твиттер-хакеров, забава так и осталась забавой. Ни сбора персональных данных, ни внедрения вредоносного кода зафиксировано не было.
