6月28日晚间8时许，新浪微博“中毒”。各路名人草根纷纷“莫名其妙”地发送垃圾私信，个人微博开始不断刷屏，转发垃圾链接，自行关注一个名叫“hellosamy” 的人。事发后，新浪微博部门迅速行动，定位问题，并控制了传播，于当日晚9时许修复微博。之后新浪微博官方表示，用户密码等个人信息不会受影响，并向用户表示歉意。《IT时报》记者了解到，目前新浪微博部门已经对漏洞开展全面检查和修复。

中毒属跨站脚本攻击

微博中毒事发后不久，互联网安全专家们就找到了原因。金山网络反病毒专家李铁军告诉《IT时报》记者，这属于XSS攻击（跨站脚本攻击），它可以将一段脚本注入到服务器上。当用户访问服务器的某个链接时，这个链接就会把远端的javascript脚本引入，自动执行许多操作，还可以使用户的机器变成“傀儡”，向其它网站发起攻击。“这种攻击方式还可以实现植入木马、盗窃账号等手段。”

其实，这个病毒模式并不新颖。在MySpace、Facebook、人人网等社交平台上都发生过。

敲响社交平台安全“警钟”

这次病毒发作后，在短短85分钟内，导致3万多名用户“中招”。小小的病毒为什么会带来微博世界的大震荡？

微博现在俨然成了最具影响力的公众舆论平台之一，通过此一平台，名人与草根可以随意沟通，舆论议程得以生成和扩散，一步步化身各群体必不可少的沟通媒介和话语工具。截至今年4月底，新浪微博注册用户的数量已超过1.4亿。微博不仅拥有众多用户，同时由一个个社交圈组成，圈子间又有紧密交融，错综复杂。所以，一旦病毒传播开，将展现蝴蝶效应。

从人人网视频分享变蠕虫病毒、百度贴吧遭漏洞攻击，再到现在新浪微博中XSS病毒，互联网社交平台的信息安全问题，时刻应引起警惕。李铁军表示，无论哪个微博平台，如果在网页设计和代码审查过程中没有控制好，都会产生一些漏洞，容易被黑客利用。“新浪微博中毒事件为我们敲响了警钟，如果不引起重视，类似的攻击将会大量出现，社交类网站将是被攻击的重点。”

专家指出，微博运营方除了在设计网页、设计应用时，充分考虑安全风险，尽可能不出现漏洞外，事后的封堵也非常关键。据了解，这次的病毒只是对原有的一些恶意代码做了小小修改，并不是完全创新的病毒代码，针对此类病毒，作为微博运营方，多加一两道关卡进行防范，并非难事。李铁军说，“在这次事件中，幸好新浪方面应对及时，迅速把垃圾私信的内容删除，使链接指向的地址全部失效。相信下一步他们对页面漏洞的检查、修补工作，会比较彻底。”