Twitter का x.com में बदलाव, phishing scammers के लिए एक तोहफ़ा
(krebsonsecurity.com)-
Twitter/X की link modification feature का दुष्प्रभाव:
- 9 अप्रैल से Twitter/X ने "twitter.com" का उल्लेख करने वाले links को अपने-आप "x.com" में बदलना शुरू किया
- लेकिन पिछले 48 घंटों में दर्जनों नए domain names रजिस्टर किए गए, जो दिखाते हैं कि इस बदलाव का कैसे उपयोग किया जा सकता है
- उदाहरण के लिए fedetwitter[.]com हाल तक tweets में fedex.com के रूप में दिख रहा था
-
नए रजिस्टर किए गए domains के उदाहरण:
- carfatwitter.com: Twitter/X पर carfax.com के रूप में दिखता है
- goodrtwitter.com (goodrx.com), neobutwitter.com (neobux.com), roblotwitter.com (roblox.com), square-enitwitter.com (square-enix.com), yandetwitter.com (yandex.com) आदि
- इन domains पर जाने पर "Are you serious, X Corp?" संदेश दिखता है
- ऐसा लगता है कि Mastodon के एक user ने scammers द्वारा खरीदे जाने से रोकने के लिए इन्हें "defensively" रजिस्टर किया
-
जापानी users द्वारा defensive domain registration:
- netflitwitter.com (netflix.com) पर "इसे malicious purpose के लिए इस्तेमाल होने से रोकने के लिए हासिल किया गया" संदेश के साथ Twitter/X username दिखाया जाता है
- space-twitter.com संभवतः "amplest0e" नामक user ने रजिस्टर किया, और Twitter/X users को यह CEO के "space-x.com" के रूप में दिखता है
- ametwitter.com पहले से ही असली americanexpress.com पर redirect करता है
-
संभावित phishing जोखिम:
- कुछ नए रजिस्टर किए गए domains अभी connected नहीं हैं और उनके registration records में उपयोगी contact information भी शामिल नहीं है
- उदाहरण के लिए firefotwitter[.]com (firefox.com), ngintwitter[.]com (nginx.com), webetwitter[.]com (webex.com) आदि
- setwitter.com (sex.com के रूप में दिखता है) हालिया बदलाव और उसके संभावित phishing उपयोग के बारे में चेतावनी देने वाली blog post पर redirect करता है
-
विशेषज्ञों की राय:
- DomainTools के vice president Sean McNee ने कहा कि Twitter/X ने अपनी redirection कोशिशों पर सही तरह से सीमाएँ लगाई हुई नहीं लगतीं
- उन्होंने इशारा किया कि malicious actors इस मौके का फायदा उठाकर legitimate sites या brands से traffic मोड़ सकते हैं
- यह भी उल्लेखनीय है कि Rolex या Linux जैसे दूसरे global popular brands भी रजिस्टर किए गए domains की सूची में थे
-
users की प्रतिक्रिया:
- यह साफ़ गलती, नए CEO के takeover के बाद दूसरे social media platforms पर जा चुके कई पुराने users के लिए मनोरंजन और हैरानी का कारण बनी
- UC Berkeley School of Information के professor Matthew Garrett ने इसे यूँ संक्षेपित किया: "यह शायद सबसे मज़ेदार चीज़ नहीं है जिसकी मैं कल्पना कर सकता हूँ, लेकिन उसके काफ़ी करीब है"
GN⁺ की राय
- यह घटना दिखाती है कि domain registration और security पर सावधानी से विचार करना कितना ज़रूरी है। यह भी दिखता है कि Twitter/X का बदलाव अनजाने में कैसे दुरुपयोग के लिए रास्ता खोल सकता है
- हर कंपनी को अपने brand या service से मिलते-जुलते domains पहले से सुरक्षित कर लेने चाहिए ताकि malicious impersonation को रोका जा सके। कुछ users का यह काम पहले से कर देना सराहनीय है
- हालाँकि defensive domain securing आम users के लिए आसान नहीं हो सकता। इसके लिए कंपनियों के स्तर पर जवाबी कदम ज़रूरी लगते हैं
- Twitter/X को इस गलती के लिए तकनीकी सुधार का उपाय तैयार करना चाहिए। लगता है कि कुछ domain patterns पर अत्यधिक generalization ही समस्या की जड़ थी
- social media कंपनियों को user convenience सुधारने वाले बदलाव करते समय security risk को भी साथ में ध्यान में रखना चाहिए। पर्याप्त review और testing के बिना जल्दबाज़ी में किए गए बदलाव फ़ायदे से ज़्यादा नुकसान कर सकते हैं
4 टिप्पणियां
अब तो ऐसी भी बात चल रही है कि Twitter पहले ही Twitter इस्तेमाल करने वाले लोगों और X इस्तेमाल करने वाले Elon Musk के समर्थकों में बंट चुका है। मुझे लगता है कि यह rebranding पूरी तरह विफल रही है।
REPLACE(content, 'twitter.com', 'x.com')....हैरानी होती है। सच में....
हाय.. ट्विटर से जुड़े मुद्दे वाकई इतने बेवकूफाना कैसे हो सकते हैं, यही सोचने पर मजबूर कर देते हैं..
Hacker News की राय
carfatwitter.comको Twitter पर पोस्ट किया गया, लेकिन वहcarfax.comपर redirect नहीं हुआ — यह प्रयोग साझा किया गयाametwitter.comamericanexpress.comपर redirect होता है, लेकिन वास्तव में ऐसा नहीं है