XSS-Wurmwelle bei Twitter: Zahlreiche Profile wurden infiziert

16. April 2009
Arne Schwarze Von Arne Schwarze, IT Sicherheit, News & Trends ...

Über die Osterfeiertage wurde der Mikro-Blogging-Dienst Twitter von einer regelrechten Wurmwelle heimgesucht, die die Profile zahlreicher Nutzer infizierte.

Techniker von Twitter  haben den Vorfall mittlerweile untersucht und versichern, dass keine Passwörter oder sonstige Informationen bei dem Vorfall gestohlen wurden.

Nachdem ein Wurm eine Cross-Site-Scripting-Sicherheitslücke (XSS-Sicherheitslücke) am Samstag ausgenutzt hatte, verbreiteten sich neben diesem Wurm innerhalb kurzer Zeit auch weitere Würmer von Trittbrettfahrern. Twitter-Nutzer infizierten ihr eigenes Profil, indem sie ein infiziertes Profil anderer Nutzer angeschaut haben. Dabei wurde JavaScript-Code aktiviert, der das eigene Profil direkt infizierte.

Twitter versicherte, dass der Vorfall genauestens untersucht wurde. Ausgangspunkt waren, soweit bisher bekannt, vier Profile, über die sich der Wurm dann weiter verbreitete. Diese wurden angeblich von einem 17-jährigen Twitter-Nutzer angelegt. Laut Twitter wurden alle infizierten Profile wieder bereinigt. Über ähnliche Sicherheitslücken könnten Angreifer, die gefährlicheren JavaScript-Code einschleusen, theoretisch auch Passwörter und Informationen von Nutzern klauen oder Nachrichten in deren Namen versenden.

Stellen Sie daher möglichst keine sensilblen Informationen in Twitter oder anderen Social-Network-Portalen ein und wechseln Sie regelmäßig Ihr Passwort, denn einen Passwort-Diebstahl über XSS-Sicherheitslücken bemerken Sie nicht einmal.

Sie können sich vor solchen Angriffen nur schützen, indem Sie JavaScript deaktivieren. Da mittlerweile viele Angebote im Internet auf JavaScript basieren, ist dies in der Praxis meist nicht möglich. Im Browser Firefox hilft Ihnen das AddIn NoScript, mit dem Sie pro Internetseite festlegen können, ob JavaScript erlaubt ist. Ob die neuen Schutzfunktionen vom Internet Explorer 8 den XSS-Angriff blockiert hätten, ist leider nicht bekannt.

Gratis: Die besten Viren-Scanner im Test

+ Gratis Eilmeldungen "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner,
  • das zeichnet einen guten Viren-Scanner aus,
  • Gratis Eilmeldungen sobald ein neuer Virus auftaucht.
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Weitere Artikel zum Thema

Gratis: Die besten Viren-Scanner im Test

+ "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner
  • Gratis Virus-Eilmeldungen
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"