ट्विटर: ए ग्रोइंग सिक्योरिटी माइनफील्ड

इन जून, दुनिया को तेहरान की सड़कों से ट्वीट्स के रूप में देखा गया ट्विटर पर बाढ़ आ गई। अक्सर ट्विटर उपयोगकर्ता - और जिन लोगों ने माइक्रोब्लॉगिंग सेवा के बारे में भी नहीं सुना था - अचानक और साथ ही इसकी क्षमता को देख रहे थे।

साथ ही, एंटीवायरस विक्रेता ट्विटर के माध्यम से फैले नए फ़िशिंग हमलों की चेतावनी दे रहे थे। ट्विटर खातों का उपयोग करके, फिशर उपयोगकर्ताओं का पालन करेंगे और फिर उन्हें मैलवेयर से लगी एक नकली प्रोफ़ाइल पेज के लिंक के माध्यम से संक्रमित करेंगे। तत्काल संदेश, माईस्पेस और फेसबुक की तरह, ट्विटर की उम्र आ गई थी।

अपेक्षाकृत शांत विकास और विकास के तीन वर्षों के बाद, 200 9 में सेवा की उल्का वृद्धि हुई है। नए उपयोगकर्ताओं के प्रवाह के कारण मुद्दों को स्केल करने के अलावा, जनवरी में एक ट्विटर हैक ने राष्ट्रपति बराक ओबामा, सीएनएन एंकर रिक संचेज़ और मनोरंजन करने वाले ब्रिटनी स्पीयर्स समेत 33 उच्च प्रोफ़ाइल उपयोगकर्ताओं के खातों से समझौता किया।

[आगे पढ़ने: कैसे अपने विंडोज पीसी से मैलवेयर हटाने के लिए]

अप्रैल में, एक ट्विटर कीड़े जिसे "माइक्य" या "स्टॉकडेली" के नाम से जाना जाता है, उसके सिर का पालन करता है। माईस्पेस पर 2005 के सैमी कीड़े के समान, माइकी कीड़े 17 वर्षीय ने लिखा था, जिसने अपनी वेबसाइट, StalkDaily.com के लिए कुख्यातता प्राप्त करने के लिए कोड क्विर्क का लाभ उठाया था। ट्विटर ने इसे बंद कर दिया - साथ ही कुछ अनुवर्ती वायरस ("नई माइकी कीड़े को कैसे हटाएं!") - काफी तेज़ी से। कीड़े के हमलों के बाद, कोफाउंडर बिज़ स्टोन ने कंपनी ब्लॉग पर लिखा, "ट्विटर सुरक्षा को बहुत गंभीरता से लेता है और हम सभी मोर्चों पर आगे बढ़ेंगे।"

छोटा-यूआरएल डेंजर्स

ट्विटर के विकास के समानांतर विस्तार है यूआरएल-शॉर्टिंग सेवाओं का। 140 विचारों में अपने विचारों को फ़िट करना अभ्यास लेता है; पूर्ण यूआरएल सहित लगभग असंभव है। आम तौर पर यूआरएल को बिट.ली और TinyURL.com जैसी सेवाओं के माध्यम से छोटा किया जाना चाहिए, जो वास्तविक गंतव्य यूआरएल को भी मुखौटा करते हैं और परिणामस्वरूप अपनी सुरक्षा समस्याएं पेश कर सकते हैं।

संक्षिप्त-यूआरएल मुसीबत के पहले संकेत एक साथ आए ट्विटर कीड़े की जोड़ी जो उपयोगकर्ताओं को माइकी कीड़े को हटाने में मदद करने का वादा करती है। जून में, छिपे हुए जहरीले यूआरएल की एक लहर ने bit.cc और myworlds.mp डोमेन के बिट.ली लिंक का उपयोग करके ट्विटर को घुमाया, जहां उपयोगकर्ताओं को वीडियो देखने के लिए फ्री-स्ट्रीम-प्लेयर-v_125.exe नामक फ़ाइल डाउनलोड करने के लिए कहा गया था। फ़ाइल मैलवेयर आयोजित की गई। Bit.ly और TinyURL दुरुपयोग की रिपोर्ट के लिए उत्तरदायी रहे हैं; Bit.ly, एक के लिए, अब उन low.cc और myworlds.mp डोमेन को अवरुद्ध करें।

कम से कम एक सुरक्षा उत्पाद, जोन अलार्म, डिफ़ॉल्ट रूप से TinyURL.com तक पहुंच को अवरुद्ध करता है, इसे संभावित रूप से दुर्भावनापूर्ण साइट के रूप में सूचीबद्ध करता है (आप अनब्लॉक कर सकते हैं यह)। आपके पास भी खुद को बचाने के अन्य तरीके हैं। TinyURL में एक पूर्वावलोकन सुविधा है, और फ़ायरफ़ॉक्स में एक बिट.ली पूर्वावलोकन एड-ऑन है। कुछ ट्विटर ऐप्स, जैसे कि TweetDeck और Tweetie, आप क्लिक करने से पहले यूआरएल का भी पूर्वावलोकन करते हैं।

सुरक्षा शोधकर्ता अवीव रैफ ​​ने जुलाई 200 9 को "ट्विटर का एक महीना" के रूप में नामित किया, जिसके दौरान शोधकर्ताओं ने हर दिन एक नई ट्विटर भेद्यता का खुलासा किया। ब्राउज़र पर और ऐप्पल मैक ओएस कमजोरियों पर केंद्रित पिछले प्रयासों का हवाला देते हुए, रैफ का कहना है कि उनका लक्ष्य ट्विटर को तोड़ना नहीं है बल्कि इसे बेहतर बनाने और सभी सोशल नेटवर्किंग त्रुटियों को हल करने के लिए नहीं है: "मुझे आशा है कि ट्विटर और अन्य वेब 2.0 एपीआई प्रदाता उनके साथ मिलकर काम करेंगे एपीआई उपभोक्ताओं को अधिक सुरक्षित उत्पादों को विकसित करने के लिए। " पहली बार खुलासा किया गया ट्विटर बग Bit.ly में क्रॉस-साइट स्क्रिप्टिंग त्रुटियों से संबंधित है। प्रकटीकरण के घंटों के भीतर, बिट ने उन्हें सही किया।

मेरा अनुसरण करें, कृपया

ट्विटर्स का लगातार लक्ष्य दर्शकों का निर्माण करना है; कुछ लोग अपनी प्रोफ़ाइल को सफलता प्राप्त करते हैं यदि उसके पास सैकड़ों या हजारों अनुयायियों हैं। ट्विटरकट नामक एक साइट ने विज्ञापित किया कि यह आपके अनुयायियों के आधार को नाटकीय रूप से बढ़ाएगा - अगर आपने इसे अपना उपयोगकर्ता नाम और पासवर्ड दिया है। अधिकांश सुरक्षा विक्रेताओं ने इसे एक पे-पर-क्लिक घोटाला माना।

घोटालों के लिए गिरने वाले लोगों ने अपने ट्विटर खातों को बाद में "सर्वश्रेष्ठ वीडियो" फ़िशिंग हमले में उपयोग किया, जिसमें ट्वीट में एक लिंक का दौरा करने वाले किसी भी व्यक्ति को डाउनलोड करना घायल हो गया एक दुर्भावनापूर्ण पीडीएफ जिसने पीसी को नवीनतम एडोब सुरक्षा अद्यतन की कमी के बाद नकली सुरक्षा उत्पाद स्थापित करने का प्रयास किया।

फ़िशिंग चला गया

अधिकांश ट्विटर फ़िशिंग प्रयास, हालांकि, अधिक सरल हैं। ट्विटर नियमित रूप से अनुयायियों के प्रोफाइल के लिंक के साथ, हाल के अनुयायियों के उपयोगकर्ताओं को ई-मेल द्वारा सूचित करता है। हाल के फ़िशिंग हमलों ने उस ई-मेल को खराब कर दिया और एक गलत ट्विटर लॉग-ऑन पेज पर एक लिंक रखा।

फ़िशिंग घोटाले की एक और भिन्नता ने एक ट्वीट पढ़ने को भेजा, "अरे, इस मजाकिया ब्लॉग को अपने बारे में देखें।" यूआरएल पर क्लिक करने से पीड़ित को नकली पेज पर ले गया (twitter.access-logins.com/login/ पर)। इससे कोई फर्क नहीं पड़ता कि साइट कितनी अच्छी लगती है, यूआरएल की जांच करें, और अपनी जानकारी दर्ज करने के बारे में दो बार सोचें - खासकर यदि आप पहले से ही ट्विटर पर लॉग इन हैं।

बुरे लोगों ने अधिक सूक्ष्म रणनीतियों की कोशिश की है, जैसे अश्लील- नाम खेल खेल के मुताबिक, नाम बनाने के लिए आप अपने वयस्क-फिल्म कैरियर के दौरान उपयोग करेंगे, आप अपने पहले पालतू जानवर का नाम लेंगे और उस सड़क के साथ गठबंधन करें, जिस पर आप बड़े हो गए थे, आपकी मां का पहला नाम, या आपकी कार का मॉडल । उन चीजों को पहचानें? वे सामान्य सुरक्षा प्रश्न हैं। अपने उत्तरों को ट्वीट करके, आप अपने ट्विटर खाते तक पहुंच सकते हैं - या अपने बैंक खाते में।

ट्विटर का उपयोग करने के लिए उभरते सुरक्षा नियमों में से कुछ सामान्य ज्ञान हैं। जैसे ही आप एक फोन संदेश नहीं छोड़ेंगे, कहेंगे कि आप शहर से बाहर होंगे, अपनी छुट्टियों की योजनाओं को ट्वीट न करें। और यदि आप एक अमेरिकी कांग्रेस के एक गोपनीय विदेशी यात्रा पर जा रहे हैं तो कृपया अपना स्थान साझा न करें। बस प्रतिनिधि पीट होएकेस्ट्रा (आर-एमआई) से पूछें, जिन्होंने इस साल की शुरुआत में ट्वीट किया था: "बस बगदाद में उतरा। मुझे विश्वास है कि यह पहली बार हो सकता है कि [इराक़ में ब्लैकबेरी] सेवा हो।"