Twitter：越来越多的安全性雷区

在三年相对平静的发展和增长之后，该服务在2009年的急速增长十分艰难。除了因新用户涌入而导致的扩展问题之外，1月份的一次Twitter黑客入侵了包括奥巴马总统，美国有线电视新闻网主播瑞克桑切斯和艺人布兰妮斯皮尔斯在内的33位知名用户的账户。

[更多阅读：从Windows电脑中删除恶意软件]

4月份，一种名为“Mikeyy”或“StalkDaily”的Twitter蠕虫开了头。与MySpace上2005年的Samy蠕虫类似，Mikeyy蠕虫是由一位17岁的孩子撰写的，他利用代码特点获得了他的网站StalkDaily.com的恶名。 Twitter将其关闭 - 加上一些后续病毒（“如何删除新的Mikeyy蠕虫！”） - 相当快。 Biz Stone联合创始人在公司博客上写道：“Twitter非常重视安全性，我们将在各个方面跟进。”

缩短的URL危险

与Twitter的发展并行的是扩展URL缩短服务。将你的想法融入140个角色需要练习;包括完整的网址几乎是不可能的。通常URL必须通过诸如Bit.ly和TinyURL.com等服务来截断，这些服务也掩盖了真正的目标URL，并可能导致其自身的安全问题。

缩短URL的第一个迹象是这对Twitter的蠕虫承诺帮助用户移除Mikeyy蠕虫。在六月份，一波隐藏的中毒URL会扫描Twitter，并使用Bit.ly链接到low.cc和myworlds.mp域，用户被要求下载一个名为free-stream-player-v_125.exe的文件来观看视频。该文件存在恶意软件。 Bit.ly和TinyURL一直对滥用报道作出回应; Bit.ly现在阻止那些low.cc和myworlds.mp域名。

至少有一个安全产品ZoneAlarm在默认情况下阻止访问TinyURL.com，并将其列为潜在恶意网站（您可以取消阻止它）。你也有其他方法来保护自己。 TinyURL有一个预览功能，Firefox有一个Bit.ly预览插件。一些Twitter应用程序，例如TweetDeck和Tweetie，也会在点击之前预览URL。

安全研究员Aviv Raff将2009年7月定为“一个月的Twitter Bugs”，期间研究人员每天都要披露一个新的Twitter漏洞。拉夫称，以前的工作主要集中在浏览器和Apple Mac OS漏洞上，他的目标不是要打破Twitter，而是要改进它，并解决所有社交网络漏洞：“我希望Twitter和其他Web 2.0 API提供商与他们密切合作API消费者开发更安全的产品。“第一个透露的Twitter错误涉及Bit.ly中的跨站脚本漏洞。在披露的几小时内，Bit.ly纠正了它们。

Follow Me，Please

Twitterers的一个常见目标是建立一个观众;有些人如果拥有数百甚至数千的追随者，则他们的个人档案会取得成功。一个名为TwitterCut的网站宣称它会大大增加你的追随者的基础 - 如果你给它你的用户名和密码。大多数安全厂商都认为它是一种按点击付费的骗局。

因诈骗而下落的人看到他们的Twitter帐户后来在“最佳视频”网络钓鱼攻击中使用，在这种攻击中，访问推文链接的任何人都最终下载如果PC缺少最新的Adobe安全更新，则会尝试安装伪造安全产品的恶意PDF

去钓鱼

然而，大多数Twitter网络钓鱼尝试更直接。 Twitter通常会通过电子邮件通知用户最近的关注者，通常会链接到关注者的个人资料。最近的网络钓鱼攻击欺骗了该电子邮件，并链接到一个人造Twitter的登录页面。

该网络钓鱼骗局的另一个变体发出了一条推文：“嘿，看看这个有趣的博客。”点击URL将受害者带到假冒页面（在twitter.access-logins.com/login/上）。无论网站的外观如何，请仔细检查网址，并仔细考虑如何输入您的信息 - 特别是如果您已经登录到Twitter。

坏人也尝试了更微妙的策略，比如色情内容，名字游戏。根据这个游戏，为了创建你在成人电影事业中使用的名字，你把你的第一只宠物的名字与你长大的街道，你母亲的婚前姓名或你的车型。认识那些东西？他们是常见的安全问题。通过发送您的答案，您可以放弃访问您的Twitter帐户或您的银行帐户。

使用Twitter的一些新兴安全规则只是常识。就像你不会留下一条电话信息说你会出城，不要发布你的假期计划。如果你是美国国会议员进行保密的海外旅行，请不要分享你的位置。只要问问今年早些时候发微博的代表皮特·霍克斯特拉（R-MI）：“我刚刚在巴格达登陆，我相信这可能是我第一次在伊拉克服务[黑莓]。”