Peretas Pasang Jejaring Sosial Seperti Twitter dalam Crosshairs

Situs web seperti Twitter menjadi semakin disukai oleh peretas sebagai tempat untuk menanam perangkat lunak berbahaya untuk menginfeksi komputer, menurut sebuah studi baru yang mencakup kerentanan keamanan aplikasi Web.

Situs jejaring sosial pasar vertikal yang paling sering ditargetkan sesuai dengan studi tentang peretasan episode di paruh pertama tahun ini. Studi ini adalah bagian dari laporan terbaru tentang Perusakan Web Insiden Database (WHID), yang dirilis pada hari Senin. Pada tahun 2008, situs pemerintah dan penegakan hukum adalah pasar vertikal yang paling sering dilanda.

Jaringan sosial adalah "lingkungan yang kaya sasaran jika Anda menghitung jumlah pengguna di sana," kata Ryan Barnett, direktur riset keamanan aplikasi untuk Breach Security., salah satu sponsor laporan, yang juga mencakup Konsorsium Keamanan Aplikasi Web.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Twitter telah diserang oleh beberapa cacing, dan platform jejaring sosial lainnya seperti seperti MySpace dan Facebook juga telah digunakan untuk mendistribusikan malware. Itu sering dilakukan ketika komputer yang terinfeksi mulai memposting tautan di situs jejaring sosial ke situs Web lain yang dicurangi dengan perangkat lunak berbahaya. Pengguna mengklik tautan karena mereka mempercayai teman-teman mereka yang memposting tautan, tanpa mengetahui bahwa teman mereka telah diretas.

Kumpulan sampel WHID kecil, mencakup 44 insiden peretasan. Laporan ini hanya melihat serangan yang dilaporkan secara terbuka dan laporan yang memiliki dampak terukur pada suatu organisasi. Kumpulan data WHID adalah "tidak signifikan secara statistik" dibandingkan dengan jumlah sebenarnya dari insiden peretasan, tetapi menunjukkan tren penyerang secara keseluruhan, kata Barnett.

Data lain menunjukkan bagaimana situs Web diserang. Serangan yang paling umum adalah injeksi SQL, di mana peretas mencoba memasukkan kode ke formulir atau URL berbasis Web (Uniform Resource Locators) untuk mendapatkan sistem back-end seperti database untuk mengeksekusinya. Jika input tidak divalidasi dengan benar - dan kode berbahaya diabaikan - itu dapat mengakibatkan pelanggaran data.

Metode lain yang digunakan termasuk serangan skrip lintas situs, di mana kode berbahaya mendapat dorongan pada mesin klien, dan lintas- pemalsuan permintaan situs, di mana perintah jahat dijalankan saat korban masuk ke situs Web.

WHID menemukan bahwa merusak situs Web masih merupakan motivasi paling umum bagi peretas. Namun, WHID termasuk penanaman malware di situs Web sebagai perusakan, yang juga menunjukkan motivasi keuangan. Komputer yang diretas dapat digunakan untuk mengirim spam, melakukan serangan denial-of-service terdistribusi dan mencuri data.

"Pada akhirnya mereka [para peretas] ingin menghasilkan uang," kata Barnett.