6月28日晚间8时许,新浪微博突然出现大范围用户 “中毒”现象,用户在点击私信或评论中出现的恶意链接后,会自动发布带有恶意链接的微博,这又造成了进一步的扩散。

用户受到病毒影响后,在发布恶意链接的同时还会被强行关注ID为“hellosamy”的微博用户,因此“hellosamy”被中毒用户认为是病毒的始作俑者。至“hellosamy”被新浪微博清理时,其一度有超过3万名“粉丝”。

这是新浪微博自2009年底上线以来首次爆发病毒事件。目前无法评估感染的用户总数及对新浪微博的影响。越来越多的用户宣布被感染,并紧急发微博通告自己的“粉丝”切莫点击任何链接。

有技术人员宣布已拿到蠕虫代码,并在分析中初步判断病毒为反射型XSS+APICSRF,即恶意攻击者在Web网页中插入恶意html代码,以及通过开放接口传播的伪造跨站请求。由于新浪微博于近期大力推进开放平台战略,因而不少人士怀疑该漏洞与此有关。

新浪微博官方账号“微博小秘书”昨日晚间发布微博称,截至21时25分,微博上的恶意链接数据已经清除完毕,并称用户密码等个人信息不会受到影响。