Veilig Twitteren - Weet wat je aanklikt!

Veilig Twitteren - Weet wat je aanklikt!

“I just viewed my TOP 20 Profile Stalkers. I can’t believe my EX is still checking me every day – http://bit.ly/tweetviewer”.

Hm, dat klinkt interessant, kan je zien wie je Twitter profiel bekijkt? Klikken.. tekstje, iets met [Allow], jaja, laat ik daar maar op klikken.. En voor je het in de gaten hebt, heb je zo maar een applicatie toestemming gegeven tot je Twitter gegevens. En een tweet gestuurd, zonder dat je het wist. Met een link waar al je volgers op kunnen klikken. Een Twitter virus. Hoe werkt dat dan?

Twitter heeft een API, een soort ‘toegang’ tot de functies van Twitter waar andere programma’s gebruik van kunnen maken. En er zijn duizenden programma’s die daar gebruik van maken. Heel veel nuttige, zoals de programma’s Tweetdeck en Hootsuite om mee te twitteren, en analysetools als Klout of Twitalyzer om een analyse te maken van je gedrag. Om te kunnen werken moeten die programma’s je Twittergegevens kunnen opvragen, zoals je tijdlijn, je mentions en je favorieten, en dingen kunnen updaten, zoals een favoriet toevoegen of een tweet versturen.

Twitter werkt met een systeem dat ‘oAuth’ heet, waarmee je zelf toestemming geeft aan die applicaties. Je hoeft ze daarmee dus niet je wachtwoord te geven. En je kan zelf die toestemming ook weer intrekken, een mooi systeem.

Maar zoals altijd moet je wel weten hoe je er mee om gaat, en een Twitter virus als Tweetviewer kan zich verspreiden omdat veel mensen te makkelijk klikken op onbekende links. En het eerste wat Tweetviewer doet is een tweet namens jou versturen.

O jee, ik heb geklikt, wat nu?

Het allereerste wat je moet doen is je tweet verwijderen, hoe sneller hoe beter. Want hoe langer de tweet blijft bestaan, hoe meer van je volgers er op klikken en het ‘virus’ daarmee weer verder verspreiden.
Daarna moet je je authorisatie weer intrekken. Dat gaat heel makkelijk, op het url http://twitter.com/settings/connections

Op die pagina zie je alle applicaties die toestemming hebben tot je gegevens, en kan je met ‘Revoke access’ die toestemming weer intrekken.

Moet ik nou ook mijn password wijzigen?

Nee. De applicatie heeft geen toegang tot je password. Als je de authorisatie intrekt is het voldoende.

Maar hoe kreeg Tweetviewer toegang?

Op het moment dat je op een link van zo’n applicatie klikt, wordt je doorgestuurd naar een pagina op de site van Twitter, waarin je gevraagd wordt of je toestemming geeft. Die ziet er ongeveer zo uit:

Voor je op [Allow] klikt moet je een paar dingen nagaan voor jezelf.

  1. Ken je de maker, of klinkt het als een ‘net’ bedrijf? Controleer dit.
  2. Wat voor toestemming vraagt de applicatie, en is dat logisch? In het bovenstaande voorbeeld vraagt hij voor ‘access and update’ permissie, en dat is logisch voor een Twitter applicatie. Sommige apps vragen alleen ‘access’ permissie, zoals Convore. Tweetviewer vroeg om ‘access and update’, wat verdacht is voor dat type app. Want waarom zou hij dat moeten?
  3. En hoe werd je hier heen gestuurd? Lees de tekst van de tweet of link goed. Zou het écht zo zijn dat je kan zien wie je Twitter profiel bekijkt? Zou dat kunnen werken?
  4. Als laatste hint zou je ook nog kunnen kijken of het een logo heeft, en als je op het logo klikt je op een redelijke website uit lijkt te komen. Als dat er ook schimmig uit ziet: Niet klikken.

Waar geef ik dan toegang toe?

Als je op ‘Allow’ klikt van een applicatie die ‘access en update’ permissie geeft, kan je er van uit gaan dat die applicatie alles kan wat zou verwachten van een volledige Twitter applicatie. Dus:  Je tweets lezen en tweets sturen, tijdlijnen van tweets en mentions opvragen, mensen volgen en ontvolgen, DMs lezen en sturen, favorites toevoegen en verwijderen, etc.  Als je toestemming geeft voor een applicatie die alleen ‘access’ permissie geeft, kan die alleen dingen opvragen, en niet ‘posten’. Dat wil zeggen dat de applicatie wel je tijdlijn kan opvragen, maar geen nieuwe tweet kan posten. En wel je Lists kan opvragen, maar geen nieuwe List kan aanmaken of accounts toevoegen aan een list. En wel je Direct Messages kan lezen, maar geen nieuwe kan versturen…

Moet ik nou bang worden?

Nee, dat zou jammer zijn. Een van de mooie dingen van Twitter is juist dat er allerlei prachtige applicaties verzonnen worden, die je data kunnen analyseren, of invoegen in andere programma’s of websites, of waarmee je makkelijk kan twitteren op je telefoon. En je kan altijd heel simpel de authorisatie intrekken. Maar het is wel belangrijk om eventjes na te denken voor je klikt. Zeker als een programma van een onduidelijke herkomst is, en iets belooft dat te mooi lijkt om waar te zijn!

Dit artikel is geschreven door Michiel Berger (@michielb).


Delen

0
0


Er zijn 7 reacties op dit artikel

  • En 5. bij 'paar dingen na gaan voor jezelf' [Allow]
    Is het waarschijnlijk dat je EX elke dag nog je profiel wil zien? ;-) (I can’t believe my EX is still checking me every day)

    Prima instructie!

    geplaatst op
  • Mooi overzicht Michiel, dank!

    geplaatst op
  • Via NU.nl:

    (...) Op Twitter gaat een malware-virus rond in de vorm van een link. Als gebruikers hierop klikken, wordt er software geïnstalleerd op hun computer.

    Het is niet duidelijk wat de malware precies doet met de computer, maar volgens Techcrunch is wel duidelijk dat het bericht opnieuw verstuurd wordt naar andere acounts. Het gaat om een link naar het adres tweetviewer.

    Gebruikers worden verleid met teksten als 'WOW! You can see WHO VISITS your TWITTER profile. That’s cool! :)' en 'I just viewed my TOP20 Profile STALKERS. I can’t believe my EX is still checking me every day'. Volgens Techcrunch heeft het bericht zich zaterdag met 159 tweets per minuut verspreid en is door meer dan 15.000 Twitteraars op de link geklikt. Del Harvey, hoofd beveiliging van Twitter, vertelt op haar account wat je aan het virus kan doen.

    Bit.ly heeft de hosts van de domeinnaam van de link inmiddels geblokkeerd, maar de link kan desondanks onder een andere naam worden verspreid. Woensdag meldde Time dat meer dan 10.000 gebruikers van Twitter in een soortgelijke truc zijn getrapt. (...)

    geplaatst op
  • Overigens, is het ook zonder het geven van toegang via een applicatie (zoals hierboven beschreven) al mogelijk om via die api al mogelijk alle (om precies te zijn: laatste 200) tweets van alle users te bekijken. Tenminste, met de default-instellingen van Twitter (die 99% vd mensen niet overruled). Kortom: Deel alleen zaken via Twitter die in principe de hele wereld mag weten.

    geplaatst op
  • Dank je wel voor deze post. Ik heb vorige week net een aantal mensen uitgelegd waarom ze een DM hadden gestuurd zonder het zelf te sturen. Fijn dat je er ook aandacht aan besteed, des te sneller stopt die vervuiling.

    geplaatst op
  • Hallo Michiel,

    Kreeg 2 weken gelden jouw link doorgestuurd omdat mijn twitrteraccount gehackt was en heb het toen via jouw instructie op kunnen lossen, nu ben ik weer gehackt (lastig met zoveel volgers) en kon gelijk jouw info aanroepen en doorsturen aan iedereen en mijn eigen account weer opschonen. Dank voor je heldere uitleg, voor mij als digibeet goed te volgen!
    Groet, Mariëlle

    geplaatst op
  • Mijn ex heeft een openbaar account en sorry...ik kijk hier regelmatig op vanwege een problematische echtscheiding, onwaarheden en leugens.
    Zelf heb ik geen account. Maar kan hij zien dat ik regelmatig op zijn Twitter kijk?

    geplaatst op

Plaats zelf een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

Vul jouw naam in.
Vul jouw e-mailadres in. Vul een geldig e-mailadres in.
Vul jouw reactie in.

Herhaal de tekens die je ziet in de afbeelding hieronder


Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.