Hubspot — демонстрация доброй воли и оперативности

Взлом популярной рейтинговой программы Twitter Grader породил волну «авторизованного» спама на социальном веб-сервисе. Автор приложения от имени своей компании, Hubspot, публично извинился за инцидент, взяв на себя всю ответственность, и сообщил о принятых мерах.

Злоумышленники воспользовались открытым протоколом авторизации (OAuth), реализованным в Twitter Grader, и разместили в доступных профилях рекламу видеоролика, который посвящен давнему выступлению одного из основателей Twitter, Inc Биза Стоуна (Biz Stone). Поскольку французский блог Seonix.org, указанный ссылкой, был зарегистрирован анонимом днем раньше и вполне безобиден, спамеры, по-видимому, просто стремились повысить рейтинг этого ресурса в поисковиках. Об этом свидетельствует и название домена.

Спам-реклама «украсила» также личный профиль создателя Twitter Grader и служебные страницы Grader.com, которые читают более 50 тыс. пользователей. В настоящее время Hubspot и команда Twitter отслеживают и блокируют несанкционированные послания, а провинившееся приложение и API временно отключены. Компания-разработчик прекращает доступ к другим аналогичным инструментам, хотя они не пострадали из-за атаки, так как размещены на разных серверах. Компьютерную базу HubSpot решила обновить и оснастить более надежными средствами безопасности.

Что касается Twitter Grader, служба вновь заработает, как только будет найдено кардинальное решение. Пока удалось добиться только того, чтобы система не разрешала публикацию несанкционированных сообщений. Исследователи ищут варианты, которые бы гарантировали надежную защиту в подобных случаях, и уверены, что управятся за несколько дней.

Самим пользователям предпринимать ничего не надо. Hubspot уверила пострадавших твиттерян, что их регистрационные данные не попали в руки злоумышленников, так как OAuth позволяет открывать доступ к приложениям без передачи идентификаторов третьей стороне. Однако любителям отпирать все сайты одним ключом рекомендуется избавиться от этой практики, а привычка регулярно менять пароли и вовсе никому не помешает. В настройках Twitter-профиля можно временно отключить опцию «Access to Grader». Те, кто хочет проверить, не появилось ли одиозное сообщение на их странице, могут сделать это через линк «tweets» («опубликованные посты»).