Nachrichten in aller Kürze
Alles zur Community
Nachrichten, die zu Ihnen kommen: Newsletter, Feeds und SMS
Alles zu unseren mobilen Angeboten: Apps, Mobilversion und SMS
Unsere Radio- und TV-Angebote
Die Zeitung im Internet: Abo, E-Paper, Anzeigen und mehr
Alles über die Redaktion von derStandard.at
Alles über Onlinewerbung, Stellenanzeigen und Immobilieninserate
vergrößern 902x602Die Twitter-Timelines werden derzeit vom Wurm dominiert.
vergrößern 1027x685Eine zweite Wurm-Variante versucht es mit großen Buchstaben.
Wer die Microblogging-Plattform Twitter am Dienstag Nachmittag aufsuchte, der konnte dabei eine recht unerfreuliche Erfahrung machen: Nach dem Bekanntwerden einer Sicherheitslücke in dem Service dauerte es nur wenige Stunden bis die ersten Würmer über die zugehörige Webseite fegten.
Gelöst
So reichte es zuletzt alleine schon aus, die Seite anzusurfen, um einen der Schädlinge weiterzuverbreiten. Mittlerweile hat man das Problem allerdings behoben, wie Del Harvey, Sicherheitschefin bei Twitter, - passenderweise in einem Tweet - bekanntgegeben hat.
Blog
Einige Stunden später wurde dann auch noch ein Blog-Eintrag veröffentlicht, der Hintergründe zu der konkreten Attacke verrät. Darin zeigt man sich auch davon überzeugt, dass bei dem Vorfall keinerlei sensible Daten in fremde Hände gelangt seien, insofern sei es auch nicht nötig das eigene Passwort zu ändern.
Im folgenden der mehrfach aktualisierte Originalartikel, der die Chronologie der Ereignisse wiedergibt:
Auslöser
Wer auf der Webseite von Twitter in der eigenen Timeline schwarze Balken sieht, sollte tunlichst darauf achten, nicht den Mauszeiger über diese zu bewegen. Ein solches "Mouseover" führt nämlich dazu, das die entsprechende Nachricht automatisch weiterverbreitet wird. Mittlerweile kursiert auch eine zweite Variante, bei der riesige Buchstaben in die Timeline eingefügt werden, hier passiert die Weiterverbreitung offenbar dadurch, dass die NutzerInnen unabsichtlich auf den transparenten Teil einer Grafik klicken.
Ausnahmen
UserInnen, die bereits das neue Twitter-Interface haben, scheinen von dem Problem nicht betroffen zu sein, hier wird stattdessen der zugehörige Code angezeigt. Für alle anderen empfiehlt sich derzeit die Webseite von Twitter.com zu meiden, externe Clients sind von dem Problem nicht betroffen.
Update, 14:40:
Laut dem Sicherheitsexperten Georg Wicherski nutzt der Wurm ein Cross-Site-Scripting-Lücke (XSS) auf der Webpage von Twitter, was auch erklärt, warum der Hack mit dem neuen Twitter-Interface nicht funktioniert. Die Lücke war erst vor wenigen Stunden aufgetaucht und recht flott in einen funktionstüchtigen Wurm verwandelt worden. Dem Schädling ist es dabei möglich auch das von der Seite genutzte Cookie auszulesen sowie externen Javascript-Code nachzuladen.
Austricksen
Neben dem Meiden von Twitter lässt sich der Wurm auch austricksen, indem im Browser Javascript deaktiviert wird. Dies kann mit Erweiterungen wie NoScript für Firefox auch selektiv für einzelne Seiten vorgenommen werden. Eine Reaktion von Seiten des Microblogging-Services gibt es derzeit noch nicht, allerdings hat man als erste Reaktion bereits die öffentliche Timeline auf Twitter.com abgedreht.
Update 2, 14:55:
Mittlerweile ist eine neue Varianten aufgetaucht, die offenbar die vorherigen kombiniert und sich alleine beim Ansurfen der Seite weiterverbreitet. In einigen Fällen werden die NutzerInnen auch ohne ihr Zutun auf andere Seiten weitergeleitet. Der Rat Twitter.com derzeit (mit den oben beschriebenen Ausnahmen) zu meiden, muss also noch mal mit Nachdruck betont werden.
Update 3, 15:40:
Twitter hat mittlerweile eine neue Status-Nachricht veröffentlicht, laut der man den verursachenden Fehler aufgespürt hat und an der Behebung des Problems arbeitet.
Update 4, 15:50:
Mittlerweile ist es Twitter offenbar gelungen das auslösende Problem zu beseitigen. Entsprechend manipulierte Tweets werden nun auch auf der Twitter.com-Seite wieder als reiner Text angezeigt, die Weiterverbreitung ist damit gestoppt.
(apo, derStandard.at, 21.09.10)
"Wir glauben, dass diese Angriffe nicht aufhören werden"
Steht die Verweigerung der Informationen im Zusammenhang mit der Veröffentlichung von 55.000 Account-Passwörter?
Kurznachrichtendienst kündigt Untersuchung an
Eine Reise durch das Anwendungs-Ökosystem des Microblogging-Services - Von Clients, Suchmaschinen und Analyse-Tools - eine Ansichtssache
wie ist das bei den anderen Browsern? Gibts derartige Erweiterungen bei ihnen?
einzelne sehr brauchbare Plugins beim FF gibts ja leider nicht bei anderen Browsern - speziell die um die Werbung etwas einzudämmen (logischerweise gräbt sich google nicht selber das Geschäft ab)
Es wird zwar immer betont wie wichtig Sicherheit ist aber dann gleich mit quick-dirty Angefagen und Sicherheit für später aufgehoben.
Aber wenn man da nicht von Anfang an dahinter ist, dann wird das nichts mehr.
bezuegl. keine-namensnennung in allen ehren...waere oftmals eine bereicherung, wenn andere user es ebenso (neutraler) halten wuerden...
ich erlaube mir trotzdem - obwohl nicht sicher ob angesprochen - zu antworten:
wer aller bereits twitter nutzt, darueber bin ich mir voellig im klaren (bzw. eigentl. nicht, da schon so viele)...
ich sprach in meinem post den nutzen/wert dieser aktionen an... und glauben sie mir: obwohl ich auch aus intersse oefter mal "best practice" tips in div. onlinemagazinen durchlese bzw. "analysen" ueber "erfolgreiche campaigns" - ich bleibe dabei: laecherlich bzw. bei selbem ressourcen-einsatz selbstverstaendl. auch ueber andere wege moeglich bzw. (fuer mich) weit besser...
und bis auf justin bieber/britney/etc. -fans hatts eigentl. keiner mitgekriegt... (aussnahme eben allenfalls noch tech-seiten wie eben dieses forum hier...)
ich bleib dabei, und das als sehr internet-affine person: twitter - die laecherslichste und nutzloseste auspraegung des web "2.0"
p.s. wirklich einzigste! ausnahme fuer mich persoenlich: eben meldungen fuer zeitungsagenturen/medien um eine meldunung (hoffentlich recherchiert und geprueft) schnell und an viele alle medien zu verbreiten...aber auch das kann immer noch fast genauso gut ueber ander vetriebswege laufen...
egal...fuer mich fast lustig irgendwie (und deshalb verfolg ich`s auch nach wie vor), weil interessant ob ich mich taeusch oder der countdown eh schon tickt...
Also ich finde Twitter eigentlich sehr nett. Es ist quasi ein Facebook ohne dem ganzen privaten Blabla (bist du mein Freund, warum bist du nicht mein Freund, warum ist X dein Freund aber Y nicht, ...). Und über Twitter kann ich schnell aktuelle Aktionen, Events oder Ereignisse an meine Freund weiterleiten ohne große Mühen und wöchentlichen neuen Privat-Einstellungen.
Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.