事件
2011年6月28日訊息,今日晚間新浪微博突然出現大範圍“中毒”,病毒利用新浪微博系統漏洞,向中毒者好友大量傳送私信,並在內容內加上流行辭彙,進行快速傳播。儘管到今日晚間9點新浪微博通過微博小秘書發布聲明指出,攻擊者的帳號被關閉,仍有分析人士指出,按照攻擊者冬粉數量看,可能導致3萬多新浪微博網友中招。影響
或導致3萬新浪微博網友中招據了解,今日晚間20時左右,大量用戶自動傳送“建黨大業中穿幫的地方”、“個稅起征點有望提到4000”、“郭美美事件的一些未注意到的細節”、“3D肉團團高清國語版種子”等帶連結的微博與私信,並自動關注一位名為hellosamy的用戶。
其中,東方早報在新浪微博就中招,東方早報騰訊官方微博指出:“在剛剛發生的新浪微博大規模中毒事件中,東方早報新浪官方微博也中毒了,傳送一些病毒連結,我們是悲催的三萬分之一。解決方案:1、不點擊不明連結;2、還是關注我們在騰訊微博的官方微博吧。”
金山毒霸騰訊官方微博也發出預警,稱新浪微博出現“微博尾巴”蠕蟲病毒,該病毒利用新浪微博系統漏洞,向中毒者好友大量傳送私信,並在內容內加上流行辭彙,進行快速傳播。用戶點擊病毒連結後即會中毒,大量向好友傳送私信和@好友。提醒有疑似症狀用戶清空快取。
此前,新浪微博也通過微博小秘書發布公告,稱目前微博出現惡意連結,一旦點擊會發出多條微博。技術正在緊急處理。請大家不要點擊如下圖所示的相關連結。
到今日晚上21點左右,新浪微博再次通過微博小秘書發布公告截至目前,稱“微博上惡意連結問題已經修復,惡意連結內容傳播已經得到控制,用戶密碼等個人信息不會受影響。給大家帶來不便我們深表歉意。”
截止目前為止,新浪微博病毒賬號@hellosamy已關閉,不過,在關閉之前該賬號有32961個冬粉,知名部落格“月光部落格”指出,儘管攻擊者賬號已經被關閉,但按照其冬粉數量看,可能仍有3萬多新浪微博網友中招。
預防策略
利用新浪微博存在的XSS漏洞新浪微博爆發集體病毒後,安全廠商金山毒霸給出了解決方案:遭遇此類病毒該如何處理:1、不要點開私信里的任何連結;2、把私信接受的許可權設定為“我關注的人”。3.如果發現中毒後馬上退出登入即可停止發布病毒信息。