Selasa, 21 April 2009

Twitter Diserang Tiga Worm






Tiga worm yang berbeda sukses menginfeksi Twitter. Penyerangan tersebut terjadi mulai Sabtu (11/4) hingga Minggu (12/4) lalu.

Michael Mooney, sang pembuat situs copycat Twitter yang masih berusia 17 tahun, telah mengakui perbuatannya atas penyerangan worm tersebut. "Sekitar pukul 2 am waktu setempat, hari Sabtu lalu, empat akun Twitter telah dibuat dan mulai menyebarkan worm di Twitter. Mulai jam 7.30 am hingga 11 am waktu setempat, tim keamanan kami bekerja untuk mengeliminasi vektor worm. Dan hasilnya, sebanyak 90 account telah terinfeksi. Kami berhasil mengidentifikasinya dan mengamankan akun Twitter tersebut," ungkap Biz Stone (co-founder Twitter).

Worm tersebut bernama Stalk Daily. Cara kerjanya adalah dengan mengeksploitasi kelemahan cross-site scripting situs di layanan Twitter untuk menginfeksi profile user. Penyerangan pada dasarnya akan mengarah kepada account palsu yang dibuat Mooney. Jadi, ketika user melihat profil akun mereka, maka profil mereka akan terinfeksi dan dari account mereka akan mengirim pesan spam kepada teman mereka agar sama-sama terinfeksi. Pesan spam yang disampaikan berupa "I love www.StalkDaily.com" dan "Dude, www.StalkDaily.com is awesome. What's the fuss?"

Sedangkan penyerangan kedua telah menginfeksi 100 akun berbeda. Penyerangan tersebut terjadi di hari yang sama, dan penyerangan ketiga terjadi pada hari Minggu. Semua juga karena eksploitasi bug XSS (cross-site scripting) layanan Twitter. Untuk worm hari Senin, Mooney mengirimkan pesan "Mikeyy I am done..." dan "Man, Twitter can't fix sh*t. Mikeyy owns." Mooney mangaku dirinya tidak menyesal, meski menyadari bahwa tindakan penyerangan worm tersebut dapat membawa masalah kepadanya.

Sementara Mikko Hypponen (kepala peneliti F-Secure) menilai bahwa user harus berhati-hati menggunakan Twitter. Jangan mengikuti link palsu, karena pihaknya menemukan worm tersebut juga melandaskan pada JavaScript. Untuk itu, user dapat melindungi dirinya dengan men-disable JavaScript di browser yang digunakan.





0 komentar: