Social Media27.08.2009

Twitter-veiligheidsissue blootgelegd: Twitter doet niks


twitter-veiligheidsissue-blootgelegd-twi.jpg
twitter-veiligheidsissue-blootgelegd-twi.jpg

Iedereen heeft de mond vol van Twitter. De service heeft de afgelopen maanden een enorme boost meegemaakt. Zo’n enorme groei zorgt meteen ook voor groeipijnen. Nadat Twitter enkele weken geleden de aanvallen gericht op een Georgische blogger niet aankon is er nu opnieuw een flink security-hole in Twitter blootgelegd.

Dave Naylor, een Engelse SEO (die geregeld bijdragen levert aan Searchcowboys) liet op zijn weblog in de afgelopen dagen zien hoe eenvoudig het is Twitter accounts te hacken, over te nemen of te misbruiken. Het door Dave blootgelegde “gat” in de API wordt echter door Twitter volledig genegeerd. Om uit de handen van hackers te blijven is het aan te raden voorlopig even niet de web-client van Twitter te gebruiken…

Een week geleden werd een ‘loophole‘ in Twitter gesloten door Twitter. De links onder een Tweet (“1 minute ago from TweetDeck”) waren tot die tijd ‘followed’. Dit houdt in dat de link Google doorstuurde en er dus een extra link kon worden bijgeschreven die kon bijdragen aan je ranking. Komend van een site als Twitter is dat natuurlijk erg interessant. Let wel: de link in dit geval kwam ten goede aan Tweetdeck. Het maken van een “eigen” applicatie is echter heel eenvoudig, via de Twitter API, waarmee je zelfs rechtstreeks kan Twitteren.

En die API zorgt er nou precies voor dat Twitter momenteel erg kwetsbaar is voor hackers. Dave Naylor en zijn team zaten naar aanleiding van het sluiten van de boven genoemde ‘loophole’ te spelen met de API en kwamen tot een schokkende conclusie: via de API is het heel eenvoudig binnen slechts enkele stappen een tweet te versturen, niet alleen met een ‘follow’-link, maar ook met html of javascript, en daarmee de login-cookie van de ontvanger te achterhalen. En met die login-cookie is het zeer eenvoudig inloggen in andermans Twitter-account.

Dave legt op zijn blog in een tweede post haarfijn uit hoe het werkt. In bijgaande video laat hij zien wat er kan gebeuren.
Een opening als deze zal op hackers werken als honing op een bij en het is opvallend dat sinds het moment dat Dave zijn post plaatste Twitter in het geheel niet gereageerd heeft. Een dag later stond alles er nog precies hetzelfde voor. Weet Twitter niet hoe ze moeten oplossen misschien?

Ondertussen is het verstandig om voorzichtig te zijn. Volg geen mensen die je niet direct kent en blijf even weg van de webpagina van Twitter, via tools als Tweetdeck ben je iets veiliger. Dave geeft in zijn post aan:

  • If you’re not logged in to Twitter, there’s no opportunity to steal your details or impersonate you, however malicious code could still send you to other websites or otherwise annoy you, so it doesn’t completely fix the problem.
  • Unfollow anyone you don’t know or don’t trust that could be exploiting this. Who’s to say they’re not already stealing your details? If you don’t see their tweets they can’t harm you.
  • If you use something other than the Twitter website to view your tweets, perhaps one of the applications mentioned below, you should be fairly safe, though without looking at each one individually it’s hard to be sure. Still, you’re likely to be pretty safe this way.

Meer hierover op Searchcowboys. Vanavond om zeven uur zal Dave ook een toelichting geven op zijn bevindingen bij ons in de Searchcowboys podcast op webmasterradio.fm.

...

Verder lezen over Hacken

25% van de Nederlandse bedrijven is niet goed voorbereid op cyberdreiging

Helemaal in de gezondheidszorg blijken grote zorgen te zijn: daar zou 40 procent onvoldoende zijn voorbereid.

Cybercrime29.10.2024

25% van de Nederlandse bedrijven is niet goed voorbereid op cyberdreiging

Pas op: er is een groot beveiligingslek in WordPress-plugin Jetpack

Het zit al sinds 2016 in Jetpack en het zorgt dat gebruikers die ingelogd zijn kunnen lezen wat er in ingediende formulieren staat.

Cybercrime15.10.2024

Pas op: er is een groot beveiligingslek in WordPress-plugin Jetpack

Nee, LEGO raadt je niet aan de LEGO Coin te kopen

In ieder geval doet LEGO geen uitspraken over hoe dit is gebeurd. Het zegt alleen: “Op 5 oktober 2024 verscheen er kort een ongeautoriseerde banner op LEGO.com.'

Cybercrime07.10.2024

Nee, LEGO raadt je niet aan de LEGO Coin te kopen

Ben jij online op te lichten? Doe de gratis cursus Digitale Weerbaarheid

De gratis cursus is bedoeld om je bewuster te maken van wat er allemaal alarmbellen moet doen rinkelen in de toekomst.

Cybercrime02.10.2024

Ben jij online op te lichten? Doe de gratis cursus Digitale Weerbaarheid

Grote storing legt DigiD en Eindhoven Airport plat

Een grote storing treft momenteel allerlei overheidssystemen, waardoor Eindhoven airport platligt, DigiD niet werkt en meer. Er zou geen cybercrime bij komen kijken.

Cybercrime28.08.2024

Grote storing legt DigiD en Eindhoven Airport plat

Google Play bevat al jarenlang malware genaamd Mandrake

Wist je dat er al jaren malware in de Play Store van Google staat? Het is zelfs 'bekende' malware, genaamd Mandrake.

Cybercrime31.07.2024

Google Play bevat al jarenlang malware genaamd Mandrake

Phishingslachtoffers Bunq krijgen nu wel hun geld terug

Het blijft een dilemma: als je slachtoffer wordt van phishing, dan heb je zelf je geld weggegeven: of is dat niet zo eenvoudig te stellen?

Cybercrime21.06.2024

Phishingslachtoffers Bunq krijgen nu wel hun geld terug

Zo voorkom je dat je te maken krijgt met vakantiefraude

De kans is groot dat je op het punt staat om een reis te boeken. Een goed idee, maar pas wel op voor vakantiefraude. Dit is wat dat inhoudt.

Cybercrime05.06.2024

Zo voorkom je dat je te maken krijgt met vakantiefraude

Verder lezen over Twitter

Pakjesavond! De leukste inhakers rondom Sinterklaas

Het schijnt een horrorspits te worden, dus hopelijk weet de Sint met zijn Pieten op tijd op de goede plekken te komen. Wij hebben fijne social media-posts verzameld waarmee je vast in de sfeer komt.

Social Media05.12.2024

Pakjesavond! De leukste inhakers rondom Sinterklaas

Deze Week Viral: de koffer in, sloppenmode en meer

Deze week zagen we vooral een TikTok-trend viral gaan, namelijk een vrij gevaarlijke, zo blijkt ook uit TikTok-video's.

Social Media01.12.2024

Deze Week Viral: de koffer in, sloppenmode en meer

Bluesky neemt standpunt in tegen AI-training met gebruikersdata

Bluesky, het opkomende sociale mediaplatform dat de laatste tijd steeds meer aandacht trekt, heeft een duidelijk standpunt ingenomen tegen het gebruik van gebruikerscontent voor AI-training.

Social Media25.11.2024

Bluesky neemt standpunt in tegen AI-training met gebruikersdata

Deze week viral: Heel Holland Frituurt, Paul vs Tyson en levende mannequins

Deze week was het qua viral content vooral de rellen in Amsterdam wat de klok sloeg. Dat is echter niet het enige dat viral ging, kijk mee.

Social Media17.11.2024

Deze week viral: Heel Holland Frituurt, Paul vs Tyson en levende mannequins

Dit zijn 3 alternatieven voor social medium X

Vind je het allemaal niet meer zo gezellig op social medium X? Dat kan. Het social medium is erg veranderd sinds het Twitter niet meer is.

Social Media13.11.2024

Dit zijn 3 alternatieven voor social medium X

X laat mensen die je hebt geblokt toch je posts lezen

Er zijn veel veranderingen doorgevoerd sinds X geen Twitter meer is. De nieuwste verandering is dat mensen die je hebt geblokkeerd nu toch je posts kunnen lezen.

Social Media04.11.2024

X laat mensen die je hebt geblokt toch je posts lezen

Happy Halloween: de leukste posts en inhakers

Gelukkig waait Halloween steeds meer over naar ons land en doen we vooral graag mee qua decoraties, al zal het nooit zo hevig zijn als in de Verenigde Staten.

Social Media31.10.2024

Happy Halloween: de leukste posts en inhakers

Deze Week Viral: twee personages uit Sesamstraat gaan los van elkaar viral

Deze week zijn er weer veel toffe dingen viral gegaan, waarbij gek genoeg enkele Sesamstraat-personages de boventoon voeren.

Social Media27.10.2024

Deze Week Viral: twee personages uit Sesamstraat gaan los van elkaar viral