De redactie van Dutchcowboys is te bereiken via redactie@dutchcowboys.nl
Iedereen heeft de mond vol van Twitter. De service heeft de afgelopen maanden een enorme boost meegemaakt. Zo’n enorme groei zorgt meteen ook voor groeipijnen. Nadat Twitter enkele weken geleden de aanvallen gericht op een Georgische blogger niet aankon is er nu opnieuw een flink security-hole in Twitter blootgelegd.
Dave Naylor, een Engelse SEO (die geregeld bijdragen levert aan Searchcowboys) liet op zijn weblog in de afgelopen dagen zien hoe eenvoudig het is Twitter accounts te hacken, over te nemen of te misbruiken. Het door Dave blootgelegde “gat” in de API wordt echter door Twitter volledig genegeerd. Om uit de handen van hackers te blijven is het aan te raden voorlopig even niet de web-client van Twitter te gebruiken…
Een week geleden werd een ‘loophole‘ in Twitter gesloten door Twitter. De links onder een Tweet (“1 minute ago from TweetDeck”) waren tot die tijd ‘followed’. Dit houdt in dat de link Google doorstuurde en er dus een extra link kon worden bijgeschreven die kon bijdragen aan je ranking. Komend van een site als Twitter is dat natuurlijk erg interessant. Let wel: de link in dit geval kwam ten goede aan Tweetdeck. Het maken van een “eigen” applicatie is echter heel eenvoudig, via de Twitter API, waarmee je zelfs rechtstreeks kan Twitteren.
En die API zorgt er nou precies voor dat Twitter momenteel erg kwetsbaar is voor hackers. Dave Naylor en zijn team zaten naar aanleiding van het sluiten van de boven genoemde ‘loophole’ te spelen met de API en kwamen tot een schokkende conclusie: via de API is het heel eenvoudig binnen slechts enkele stappen een tweet te versturen, niet alleen met een ‘follow’-link, maar ook met html of javascript, en daarmee de login-cookie van de ontvanger te achterhalen. En met die login-cookie is het zeer eenvoudig inloggen in andermans Twitter-account.
Dave legt op zijn blog in een tweede post haarfijn uit hoe het werkt. In bijgaande video laat hij zien wat er kan gebeuren.
Een opening als deze zal op hackers werken als honing op een bij en het is opvallend dat sinds het moment dat Dave zijn post plaatste Twitter in het geheel niet gereageerd heeft. Een dag later stond alles er nog precies hetzelfde voor. Weet Twitter niet hoe ze moeten oplossen misschien?
Ondertussen is het verstandig om voorzichtig te zijn. Volg geen mensen die je niet direct kent en blijf even weg van de webpagina van Twitter, via tools als Tweetdeck ben je iets veiliger. Dave geeft in zijn post aan:
- If you’re not logged in to Twitter, there’s no opportunity to steal your details or impersonate you, however malicious code could still send you to other websites or otherwise annoy you, so it doesn’t completely fix the problem.
- Unfollow anyone you don’t know or don’t trust that could be exploiting this. Who’s to say they’re not already stealing your details? If you don’t see their tweets they can’t harm you.
- If you use something other than the Twitter website to view your tweets, perhaps one of the applications mentioned below, you should be fairly safe, though without looking at each one individually it’s hard to be sure. Still, you’re likely to be pretty safe this way.
Meer hierover op Searchcowboys. Vanavond om zeven uur zal Dave ook een toelichting geven op zijn bevindingen bij ons in de Searchcowboys podcast op webmasterradio.fm.
Verder lezen over Hacken
Cybercrime29.10.2024
25% van de Nederlandse bedrijven is niet goed voorbereid op cyberdreiging
Cybercrime15.10.2024
Pas op: er is een groot beveiligingslek in WordPress-plugin Jetpack
Cybercrime07.10.2024
Nee, LEGO raadt je niet aan de LEGO Coin te kopen
Cybercrime02.10.2024
Ben jij online op te lichten? Doe de gratis cursus Digitale Weerbaarheid
Cybercrime28.08.2024
Grote storing legt DigiD en Eindhoven Airport plat
Cybercrime31.07.2024
Google Play bevat al jarenlang malware genaamd Mandrake
Cybercrime21.06.2024
Phishingslachtoffers Bunq krijgen nu wel hun geld terug
Cybercrime05.06.2024
Zo voorkom je dat je te maken krijgt met vakantiefraude
Verder lezen over Twitter
Social Media05.12.2024
Pakjesavond! De leukste inhakers rondom Sinterklaas
Social Media01.12.2024
Deze Week Viral: de koffer in, sloppenmode en meer
Social Media25.11.2024
Bluesky neemt standpunt in tegen AI-training met gebruikersdata
Social Media17.11.2024
Deze week viral: Heel Holland Frituurt, Paul vs Tyson en levende mannequins
Social Media13.11.2024
Dit zijn 3 alternatieven voor social medium X
Social Media04.11.2024
X laat mensen die je hebt geblokt toch je posts lezen
Social Media31.10.2024
Happy Halloween: de leukste posts en inhakers
Social Media27.10.2024