Otra vulnerabilidad afecta a Twitter (Actualizado)

 Twitter está siendo afectado por otra vulnerabilidad que, aunque no es claro como ha iniciado, está afectando a un gran número de personas en este momento. Consiste en el envío de dos tweets, uno de los cuales empieza con WTF y envía a un enlace con la famosa imagen de goatse.

El hack consiste en la publicación de dos mensajes, uno con un enlace que empieza con un WTF como la captura de pantalla que incluyo justo arriba de estas líneas. Justo después se publica otro mensaje como este:

De acuerdo al blog de estátus de Twitter, el problema viene de un enlace con código malicioso que genera el envío de los dos tweets en cuestión. También explican que el enlace ha sido deshabilitado y la vulnerabilidad ya ha sido arreglada:

A malicious link is making the rounds that will post a tweet to your account when clicked on. Twitter has disabled the link, and is currently resolving the issue.

Captura de pantalla del código fuente del Javascript que causa la vulnerabilidad y la publicación de los dos tweets antes mencionados (vía @stephenou):

Es impresionante, pero el problema no puede ser calificado, ni siquiera, como una vulnerabilidad o un problema de seguridad de Twitter, es más cercano al hack social:

1.Una persona publica un tweet con un texto provocador, (WTF y el enlace).
2.El enlace tiene un simple código Javascript (ver la captura de pantalla) en el cual vienen acciones para que, a su vez, se publiquen 2 tweets, uno de los cuales también tiene el enlace con el Javascript malicioso.
3.Personas con cierta reputación en Twitter hacen click en el enlace, y en el proceso hacen que se publique en sus propias cuentas el enlace.
4.Viralización inmediata. En millones de cuentas se publica el enlace, sin querer. Sumado a que Twitter el tiempo real es fundamental, esto sucede en cuestión de 5 minutos.
Esto ejemplifica el problema inherente de los enlaces cortos, y la única forma de solucionarlo es que Twitter decida no contar los enlaces como parte de los 140 caracteres de límite por tweet, de tal forma que podamos ver la dirección completa sin necesidad de recurrir a acortadores que “ocultan” el URL original.
 Fuente

saludos

ms, 27-9-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies