Ένα κενό ασφαλείας που δημιουργήθηκε την Τρίτη 21/09 στο Twitter, προκάλεσε αναστάτωση σε εκατοντάδες χιλιάδες χρήστες της δημοφιλούς υπηρεσίας κοινωνικής δικτύωσης, οι οποίοι έπεσαν θύματα ηλεκτρονικής εισβολής. Ξαφνικά πολλά tweets απέκτησαν αντί γα κείμενο μια μαύρη οθόνη, όπου μόνο η φωτογραφία του προφίλ ήταν ορατή. ¶λλα tweets άρχισαν να αλλάζουν από το χρώμα μέχρι το κείμενο και τα μηνύματα λάθους. Ο μόνος τρόπος για να διορθωθεί το λάθος ήταν το κλείσιμο του browser. Παράλληλα όταν οι χρήστες περνούσαν το δείκτη του ποντικιού πάνω από ένα link, αυτό ενεργοποιούταν χωρίς εκείνοι να κάνουν «κλικ» επάνω του, ανοίγοντας ιστοσελίδες (κυρίως) πορνογραφικού περιεχομένου. Τι όμως συνέβη τελικά;

¶γνωστοι (ως αυτή τη στιγμή) χάκερς εκμεταλλεύτηκαν αυτή την περίοδο που το Twitter αναβαθμίζεται στη νέα του έκδοση, εντοπίζοντας μια ευπάθεια γνωστή ως scripting cross-site (XSS). Έτσι links εμφανίζοντας ως τυχαίες διευθύνσεις URL (εμπεριέχοντας την εντολή onmouseover που ενεργοποιείται όταν το ποντίκι περάσει πάνω από ένα κείμενο) οδηγούσε αυτόματα τους χρήστες σε άλλους δικτυακούς τόπους. Επίσης σε κάποιες περιπτώσεις τα «μολυσμένα» tweets γίνονταν αυτόματα και ανεξέλεγκτα retweet σε αναρίθμητους λογαριασμούς χρηστών, χωρίς οι ίδιοι να το έχουν επιτρέψει.

Αρχικά για να ξεπεραστεί το πρόβλημα, αντί της άμεσης χρήσης του Twitter, προτάθηκε στους χρήστες η χρήση «τρίτων» clients, όπως το Tweetdeck. Λίγο αργότερα η επίσημη απάντηση από το Twitter, αναφέρει ότι εντοπίστηκε επίθεση XSS, ζητώντας από τους χρήστες να στείλουν μήνυμα στο safety@ εάν έχουν οποιαδήποτε πληροφορία. Λίγο αργότερα, το απόγευμα της Τρίτης, με νεότερη ενημέρωση οι υπεύθυνοι ενημέρωσαν ότι το πρόβλημα αποκαταστάθηκε πλήρως. Όπως προκύπτει από τη μέχρι στιγμής ανάλυση, δεν απαιτείται η αλλαγή του κωδικού σας στο Twitter ή οποιαδήποτε άλλη ενέργεια. Σε κάθε περίπτωση όμως φροντίστε να έχετε πάντα ενημερωμένο antivirus και firewall στον υπολογιστή σας.

Περισσότερες λεπτομέρειες με πλήρη τεχνική εξήγηση βρίσκονται στο επίσημο blog του Twitter: http://blog.twitter.com/2010/09/all-about-onmouseover-incident.html