Twitter опубликовал официальное объяснение об упущении в безопасности, так называемой уязвимости "onMouseOver", которая поразила веб-сайт Twitter.com вчера.

В официальном сообщении Боб Лорд, член группы безопасности Twitter, сообщает о хронологии атаки, ее исходных причинах и охвате.

Злонамеренные пользователи, используя межсайтовый скриптинг (XSS), автоматически перенаправляли блогеров на другие веб-сайты, а также автоматически рассылали приглашения другим пользователям с целью их привлечения на сайт Twitter.

Этот тип атаки особенно опасен, потому что ему подвержены все, кто просто наводил указатель мыши на ссылку на странице сайта. В некоторых случаях, обычного посещения сайта Twitter было достаточно для создания шаблонов автоматической рассылки твитов.

Twitter говорит, что обнаружил дыру, которая привела к подобной атаке, еще в прошлом месяце и исправила уязвимость. Однако, недавнее обновление сайта (как подчеркивает Twitter, оно не имело отношения к новому сайту Twitter) привело к повторному появлению уязвимости.

Данная атака повлияла только на пользователей Twitter.com, и не затронула пользователей мобильного веб-сайта или других сторонних приложений Twitter. Twitter говорит, что был уведомлен о проблеме в системе безопасности в 2:54 ночи и исправил самые значительные проблемы уже к 7:00 утра.

Служба микро-блогов сообщает, что скорее всего атака была произведена как шутка или в целях рекламы. Лорд пишет, что Twitter не известно о каком-либо негативном влиянии на компьютеры пользователей или на их учетные записи Twitter. Личные данные учетных записей пользователей не были под угрозой, поэтому смена пароля не обязательна.

Хотя и очевидно, что данная атака была просто сильно раздражающим инцидентом, а не каким-либо серьезным повреждением, это событие – хорошая демонстрация того, как быстро можно навредить даже большому веб-сайту. Ради блага Twitter мы надеемся, что Twitter будет проводить больше проверок соответствия спецификациям при применении патчей, чтобы избежать подобных инцидентов в будущем.