Y otra vulnerabilidad más para Twitter el día de hoy

Twitter fue afectado por otra vulnerabilidad hoy, que, aunque no es claro como ha iniciado, afectó a un gran número de personas en este momento. Consistía en el envío de dos tweets, uno de los cuales empieza con WTF y envía a un enlace con la famosa imagen de goatse.


Justo después del primer tweet, se publica otro mensaje como este:


De acuerdo al blog de estatus de Twitter, el problema viene de un enlace con código malicioso que genera el envío de los dos tweets en cuestión. También explican que el enlace ha sido deshabilitado y la vulnerabilidad ya ha sido arreglada:

“A malicious link is making the rounds that will post a tweet to your account when clicked on. Twitter has disabled the link, and is currently resolving the issue.”

La siguiente es la captura de pantalla del código fuente del Javascript que provocó la vulnerabilidad y la publicación de los dos tweets antes mencionados (vía @stephenou):

Click en la imagen para ver más grande

Es impresionante, pero el problema no puede ser calificado, ni siquiera, como una vulnerabilidad o un problema de seguridad de Twitter, es más cercano al hack social:

  1. Una persona publica un tweet con un texto provocador (WTF y el enlace).
  2. El enlace tiene un simple código Javascript en el cual vienen acciones para que, a su vez, se publiquen 2 tweets, uno de los cuales también tiene el enlace con el Javascript malicioso.
  3. Personas con cierta reputación en Twitter hacen click en el enlace, y en el proceso hacen que se publique en sus propias cuentas el enlace.
  4. Viralización inmediata. En millones de cuentas se publica el enlace, sin querer. Sumado a que Twitter el tiempo real es fundamental, esto sucede en cuestión de 5 minutos.
Esto ejemplifica el problema inherente de los enlaces cortos, y la única forma de solucionarlo es que Twitter decida no contar los enlaces como parte de los 140 caracteres de límite por tweet, de tal forma que podamos ver la dirección completa sin necesidad de recurrir a acortadores que “ocultan” el URL original.

Vía: ALT1040

0 comentarios:

Publicar un comentario