Meghekkelték a Twittert

Simán, twitként terjed az a szkript, ami onmouseover-re körberetwitteli magát, így extrém gyorsan áramlik körbe a Twitteren. Az áldozatok - köztük én is - az aktív szpemelés miatt egy órára automatikusan ki is tiltódnak a Twitterről. A szkript mobilkilenseken és a jobban megírt Twitter-mashupokon (pl. Yamm) nem tud terjedni.


pic via planetdamage

Érdekes, hogy a Sophos biztonsági cég 11 nappal ezelőtt már figyelmeztetett a biztonsági résre. Amúgy egyzerű dologról van szó. Rövid JS-kód, mely onmouseoverre végez műveleteket: vagyis a twit fölé mozgatott kurzor már elegendő neki ahhoz, hogy például megnyisson akaratunkon kívül egy böngészőablakot, vagy retwittelje magát.

[update] Közben a Twitter egyik szóvivője azt mondja, hogy a rést összevarrták.

Címkék: hack twitter
2010.09.21. 14:59. írta: hírbehozó

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

a vicces háttérszínezésen kívül most már "ipad-beta-testers" domaineket retwittelgetnek úgy látom, szép bug.
Nekem elsőre csak annyi tűnt, hogy írtál valami onmouseover-es szkriptet, ami vörös és legyilkolta a böngészőmet.

És amint bután rámutatok az egérrel, már hülyeségek történnek.

Na mondom nagy egy ..ci ez a webisztán :)
Egy kis katasztrófa turizmust éltem át :) Két képpel dokumentáltam a scripteket:

twitpic.com/2qkzi7
twitpic.com/2ql8mn
trendi topik-ok jól pörögnek, nem értem miért nem reagálnak rá a twitternél, egy 20perces down alatt meg tudnák oldani nem?

dl.dropbox.com/u/3475888/Kepek/trend.png
Én is megszívtam. Csak azt nem értem, hogy először teljesen magától jelent meg, mintha retweeteltem volna.
elvileg innen indult a cucc:

blog.inspired.no/xss-vulnerability-on-twitter-com-760

én egyébként nem twitter.com-ot használok, ezért nem szippantott be, de láttam a fura twiteket :)
Meg van meg esetleg nalad ez a JS kod? Adnek egy publikus gpg kulcsot, ha el tudnad nekem kuldeni elemzesre.

Elore is koszi

Csizmazia István [Rambo]
antivirus.blog.hu
hát ez nem tett annyira jót a felhasználói élményvilágnak, ráadásul ugye most vezetik be az új felületüket is...