Twitter wist al maand van veiligheidslek
Het bestaan van het veiligheidslek was al sinds 23 augustus algemeen bekend. Twitter bracht toen een patch aan in de software die de door gebruikers ingevoerde teksten verwerkt. Kortgeleden werd het probleem per abuis opnieuw geïntroduceerd met een update van de Twitter-website. Het probleem deed zich dan ook alleen voor op de website van Twitter zelf en niet met Twitter-applicaties van derde partijen.
Shutterstock
Shutterstock
Een Japanse hacker ontdekte dat als eerste, meldt Computerworld. Hij maakte aanvankelijk alleen melding van het lek in onschuldige tekstberichten maar bracht dinsdag ook een worm in omloop om het probleem te demonstreren. Deze worm zorgde ervoor dat uit naam van nietsvermoedende Twitter-gebruikers automatisch tekstberichten werden verstuurd aan al hun ‘volgers’ op het sociale netwerk. Andere bronnen noemen overigens Twitter-gebruiker Magnus Holm als de eerste die op deze manier een worm verspreidde.
Sommige Twitteraars gingen een stap verder en stuurden malware en verwijzingen naar pornosites de wereld in. Gebruikers hoefden slechts met hun muisaanwijzer over zo’n linkje te gaan om de sites te openen (het ‘mouse-over’ effect). Sommigen grepen het lek ook aan om in hun tweets gekleurde blokken op te nemen. Die waren volgens IT-beveiliger Sophos extra gevaarlijk omdat ze hun ware inhoud verborgen hielden.
Sophos neemt aan dat waarschijnlijk honderdduizenden gebruikers dinsdag te maken kregen met de gevolgen. Volgens Twitter ging het in de overgrote meerderheid van de gevallen om onschuldige ‘grappenmakerij’. Twitter kreeg het probleem in de loop van dinsdag onder de knie. Volgens het bedrijf is geen schade aan pc’s aangericht en hoeven gebruikers hun wachtwoord niet te veranderen omdat er geen informatie over gebruikersaccounts is blootgesteld. Dat neemt niet weg dat het ongewild bezoeken van kwaadaardige websites gebruikers wel degelijk kan opzadelen met malware via een ‘drive-by’ aanval.
Het veiligheidslek viel terug te voeren op een programmeerfout waardoor gebruikers van Twitter JavaScript-code in hun ‘tweets’ konden invoegen (cross-site scripting). Als de in een tweet opgenomen URL een @-teken bevatte, vertaalde de Twitter-site een deel van de link in JavaScript-code. Deze code had toegang tot allerlei faciliteiten van de website, waaronder de verzending van tweets.
Het nu ontstane probleem roept vragen op over de zorgvuldigheid waarmee Twitter zijn beveiliging aanpakt. Vorig jaar zorgde een ander veiligheidslek op de site van Twitter eveneens voor consternatie. Indertijd bleek het mogelijk JavaScript in de gebruikersprofielen in te bedden. Ook het lek in de profielen effende de weg voor het versturen van wormen.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee