Twitter Clickjacking Attack forårsager post-Awards Annoyance

Twitter Nation, stands ned: Clickjacking-angrebet, der plager Twitter på torsdagen, er nu blevet rettet.

Mindre end 24 timer efter de første officielle priser viser ære for Twitter-brugere (og til eventuelle skeptiske ikke-Twitter-typer, er jeg ikke at gøre dette op - det blev kaldt Shorty Awards og MC Hammer var der), startede nogen en slags social virus, der hurtigt spredte sig gennem netværket.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Twitter Clickjacking: "Klik ikke på"

Twitter klikjacking bug var ikke rigtig en stor trussel, det ser ud til, men mere af en mindre irritation. Her er hvad der skete: Nogen ville sende en besked med at sige "ikke klik" sammen med en maskeret webadresse. Hvis du klikker på linket, bliver den samme besked automatisk hentet på din Twitter-konto. En af dine venner vil så ende med at se din besked, blive nysgerrig og klikke på den - derved skabe en viral spredningseffekt.

"Klik ikke på" god ol 'omvendt psykologi ved dens fineste. Gæt, at ting virkelig virker. (Bemærk til mig selv: Start uddeling af telefonnummer til attraktive damer med notat, der siger: "Ring ikke.")

Sandheden bag tweeting

Så hvad foregik der her? De seje katte over på Sunlight Labs siger, at det hele handlede om iframerne. "Hvad dette" virus "gør, det skaber en iframe på siden, gemmer den, og når du klikker på den knap, og du er logget ind på Twitter, får den dig til at sende denne besked (selvom du ikke ser det) "Sunlight Labs Director Clay Johnson forklarer i sin blog. "Der er ikke noget involveret javascript," siger han.

Du kan se den fulde kode for bugten oversat til engelsk her. Selvfølgelig er alt, hvad du virkelig kan gøre, læst. Det virker ikke længere.

Twitter Fixers

Twitters hold var i stand til at stoppe fejlen om nogle timer. "The 'klik ikke' + link ting er en 'clickjacking' hack," Twitter CEO Evan Williams skrev omkring 1:30 p.m. ET. "Klik ikke på det. Afhjælp nu," instruerede hans tweet.

Inden for få minutter meddelte Operation Engineer John Adams - bedre kendt for tilhængere som Netik, hans Twitter-håndtag - at fejlen var rettet.

"Vi patched 'klik ikke' clickjacking attack 10 minutter siden, 'bemærkede han. "Problemet skal være væk."

Twitters officielle blog giver nu lidt mere indsigt:

"Heldigvis var skaden begrænset til konstant reposting af linket, men vi tager meget ondsindede angreb på Twitter-brugere og i morges Vi sendte en opdatering, der blokerer denne clickjacking teknik. "

Whew. I det mindste kan vi hvile os ved at vide, at Hammer forblev sikker fra denne ting. Den fyr er alt for legitim til at klikke.

(Undskyld. Kunne ikke modstå.)