Невідомі хакери атакували веб-інтерфейс Twitter, скориставшись вразливістю у безпеці сайту. Сервісом поширювались підробні посилання, які могли бути автоматично відправлені користувачем без його відома.

Атака використовує XSS-вразливість сервісу: при наведенні мишкою на фейкове посилання, екаунт користувача автоматично поширював атаку від його імені, постив повідомлення з кольорами райдуги, ретвітив інших користувачів, а також відкривав інші сайти (в т.ч. порно) у нових вкладках. Активна фаза атаки почалася з екаунту RainbowTwtr i тривала близько години, протягом яких фейкові повідомлення потрапили у список “гарячих тем” (Trending Topics), а жертвами такої підробки стали тисячі людей, в тому числі й корпоративні екаунти компаній.

Для того, щоб вберегтися від XSS-вразливості наполегливо рекомендується не використовувати веб-інтерфейс твітера, тобто просто не заходити на twitter.com. Ви можете використовувати будь-які сторонні програми, а також мобільну версію (mobile.twitter.com) – через них атака неможлива.

Станом на 15:52 21 вересня публікація нових твітів з лінками-підробками стала неможливою, але “діра” у сервісі все ще працює.

Оновлення: станом на 16:50 вразливість було закрито.