Útoky na sociální sítě - díl třetí: Facebook
Sociální sítě jsou zranitelné. Po dvou útocích na Twitter se setkáváme s útokem na skutečného giganta - Facebook.
Tisíce uživatelů Facebooku čelí útoku prostřednictvím malého červa, který uživatele nutí "lajkovat" stránku na Facebooku. Informace o provedení této akce se pak ukáže na zdi uživatele a může se tak vesele šířit dál. Útočníci opět použili JavaScript, technologii, která umožňuje web udělat více dynamický a spouští se na straně klienta. Stejně jako i na Twitteru, i na Facebooku se škodná šíří virálním způsobem. Tisíce příspěvků ve tvaru "Shocking! This girl killed herself after her dad posted this photo.", tedy "Šokující! Tato dívka se zabila poté, co její táta zveřejnil tuto fotku", se zobrazují na zdech uživatelů. A pak už stačí jen kliknout...
Stále tedy velmi záleží na uživatelích a platí zlaté pravidlo - přemýšlej, co děláš a neklikej na něco, o čem nevíš, co to je. Nejen pro Facebook samotný, ale také pro firmy zabývající se škodlivým softwarem, mohou být takové typy útoku do budoucna velmi důležitou otázkou. Zatím jde samozřejmě o drobné hříčky, které nikomu neublíží, nevezmou heslo, ani na profil nepošlou status "Můj šéf je ...". Ale již nyní je jasné, že aplikace jsou v tomto směru velmi zranitelné a místo dalšího rozšiřování funkcionality se jejich tvůrci budou muset zamyslet také nad bezpečností.
Technice, pomocí které byly velké sociální sítě v poslední době napadeny, se říká XSS, neboli Cross-site scripting. Útočník využívá špatného ošetření vstupů na straně aplikace, aby do výstupního HTML kódu dostal svůj škodlivý kód. Ten se v případě JavaScriptu spustí na straně klienta. Je tedy na tvůrcích aplikací, aby lépe dbali na jejich kvalitu a třeba si i najali podobné útočníky a využili je ve svůj prospěch.
Podle všeho Facebook již stihl zareagovat a šíření červa zastavil - odkazy, které vidíte na screenshotu, již nefungují. Podle vyhledávání také vymazal příspěvky ze zdí všech uživatelů. Zajímavé je, že uživatele, které vidíte na screenshotech zahraničních magazínů se v současné chvíli nedaří vyhledat, jejich profily jsou nejspíš pod drobnohledem adminů z Facebooku, kteří je důkladně čistí.
Zdroj: Mashable