Twitter: En växande säkerhetsgruvfält

Samtidigt varnade antivirusleverantörer om nya phishing-attacker som sprids via Twitter. Med hjälp av Twitter-konton skulle phishers följa användare och sedan infektera dem via en länk till en falsk profilsida laddad med skadlig kod. Twitter, som omedelbar meddelanden, MySpace och Facebook före den, blev äldre.

Efter tre år med relativt tyst utveckling och tillväxt har tjänsten haft en meteorisk ökning under 2009. Bortsett från skaleringsproblem på grund av tillströmningen av nya användare, komprometterade en Twitter-hack i januari konton för 33 högprofilerade användare, bland annat president Barack Obama, CNN-ankare Rick Sanchez och entertainer Britney Spears.

[Vidare läsning: Hur att ta bort skadlig kod från din Windows-dator]

I april uppfödde en Twitter-mask som kallades "Mikeyy" eller "StalkDaily" sitt huvud. I likhet med Samy-masken på MySpace 2005, var Mikeyy-masken författad av en 17-årig som utnyttjade en code quirk för att få beröm för sin webbplats, StalkDaily.com. Twitter stänga av det - plus några uppföljningsvirus ("hur man tar bort ny Mikeyy-mask!") - ganska snabbt. Efter maskattackerna skrev cofounder Biz Stone på bolagets blogg, "Twitter tar säkerhet mycket seriöst och vi kommer att följa upp på alla fronter."

Kortad URL Faror

Parallellt med Twitter-tillväxten är expansionen av URL-förkortningstjänster. Att anpassa dina tankar till 140 tecken tar övning; inklusive fullständiga webbadresser är nästan omöjligt. Vanligtvis måste webbadresser avkortas genom tjänster som Bit.ly och TinyURL.com, som också maskerar den verkliga destinationsadressen och kan ge sina egna säkerhetsproblem som resultat.

De första tecknen på problem med förkortad URL kom med en par Twitter-maskar som lovade att hjälpa användarna att ta bort Mikeyy-masken. I juni svepte en våg av dolda förgiftade webbadresser Twitter, med hjälp av Bit.ly-länkar till low.cc- och myworlds.mp-domäner där användarna ombads ladda ner en fil som heter free-stream-player-v_125.exe för att visa en video. Filen innehöll skadlig kod. Bit.ly och TinyURL har varit mottagliga för rapporter om missbruk. Bit.ly, för en, blockerar nu domänerna low.cc och myworlds.mp.

Åtminstone en säkerhetsprodukt, ZoneAlarm, blockerar tillgången till TinyURL.com som standard och listar den som en potentiellt skadlig webbplats (du kan avblockera Det). Du har också andra sätt att skydda dig själv. TinyURL har en förhandsgranskningsfunktion, och Firefox har en Bit.ly-förhandsgranskning. Vissa Twitter-appar, till exempel TweetDeck och Tweetie, förhandsgranskar även webbadressen innan du klickar.

Säkerhetsforskare Aviv Raff utsåg juli 2009 som "En månad med Twitter Bugs", där forskare ska avslöja en ny Twitter-sårbarhet varje dag. Raff säger att hans mål är att inte bryta Twitter, men att förbättra det och att ta itu med alla sociala nätverksbrister: "Jag hoppas att Twitter och andra Web 2.0 API-leverantörer kommer att arbeta nära sina API-konsumenterna utvecklar säkrare produkter. " Den första beskrivna Twitter-bugen gällde skriptfelet på cross-site i Bit.ly. Inom några timmar efter upplysningen korrigerade Bit.ly dem.

Följ mig, var god

Ett vanligt mål för Twitterers är att bygga en publik; vissa människor betygsätter sin profil om den har hundratals eller till och med tusentals anhängare. En webbplats som heter TwitterCut annonserade att det skulle öka din bas av efterföljare dramatiskt - om du gav det ditt användarnamn och lösenord. De flesta säkerhetsleverantörer ansåg att det var en betala per klick bluff.

Människor som föll för bluff såg deras Twitter-konton som senare används i phishing-attacken "Bästa video", där alla som besökte en länk i tweeten slutade ladda ner en skadlig PDF som försökte installera en falsk säkerhetsprodukt om datorn saknade den senaste Adobe-säkerhetsuppdateringen.

Gone Phishing

De flesta Twitter-phishing-försök är dock enklare. Twitter meddelar rutinmässigt användare av de senaste anhängarna via e-post, ofta med en länk till följarens profil. Nyliga phishing-attacker spoofed det e-postmeddelandet och höll en länk till en inloggningssida för Twitter.

En annan variant av phishing-scam skickade en tweetavläsning, "Hej kolla in den här roliga bloggen om dig." Genom att klicka på webbadressen blev offret till en falsk sida (på twitter.access-logins.com/login/). Oavsett hur bra webbplatsen ser ut, kolla in webbadressen och tänk två gånger om att skriva in din information - speciellt om du redan är inloggad på Twitter.

Bad guys har också försökt mer subtila taktik, namn spel. Enligt spelet, för att skapa det namn du ska använda under din vuxenfilmkarriär, tar du namnet på ditt första husdjur och kombinerar det med den gata du växte upp på, din mors pigenamn eller din bilmodell. Erkänna dessa saker? De är vanliga säkerhetsfrågor. Genom att tweeta dina svar kan du ge bort åtkomst till ditt Twitter-konto - eller till ditt bankkonto.

Några av de nya säkerhetsreglerna för Twitter är helt enkelt sunt förnuft. Precis som du inte skulle lämna ett telefonsamtal som säger att du kommer att vara ute i stan, tweetar du inte dina semesterplaner. Och snälla dela inte din plats om du är en amerikansk kongressperson som går på en konfidentiell utlandsresa. Bara fråga representant Pete Hoekstra (R-MI) som tweeted tidigare i år: "Just landade i Bagdad. Jag tror att det kan vara första gången jag har haft BlackBerry-tjänst i Irak."