martedì 21 settembre 2010

Attacco hacker a Twitter: grave falla XSS, il social network corre ai ripari


Il popolare sito web Twitter e' stato attaccato da pirati che hanno sfruttato vulnerabilita' esistenti nel suo sistema di sicurezza. Nella home page del sito e' apparsa la scritta 'Twitter got hacked' mentre gli utenti hanno visto scattare il collegamento ad altri siti anche solo facendo transitare il mouse sopra un codice javascript ("onmouseover"). Al passaggio del mouse sul testo, il messaggio veniva immediatamente condiviso con i propri contatti e in alcuni casi venivano aperte finestre pop-up contenenti un software in grado di penetrare nei computer con scarse protezioni di sicurezza. 

Si tratta di un XSS ben architettato che permette il propagarsi del codice JavaScript in modo virale da account ad account in modo simile a quanto avviene nei worm. Come spiega Sophos sul suo sito, i gestori di Twitter sono stati costretti a sospendere il servizio per alcune ore, ma hanno prontamente messo a punto il patch per bloccare la lacuna nel sistema di sicurezza.


Sulla pagina di sicurezza del sito la società ha scritto che l'attacco è "completamente contenuto" e non è più in grado di nuocere. Twitter ha inoltre pubblicato un post sul suo blog per chiarire in dettaglio quanto accaduto, e come si afferma di aver risolto il problema. L'exploit che ha creato problemi di sicurezza, è stato causato da cross-site scripting (XSS). Cross-site scripting è la pratica con la quale viene si immette del codice da un sito non attendibile in un altro. 

In questo caso, agli utenti è stato presentato un codice javascript come testo normale in un Tweet, che poteva essere eseguito nel browser di un altro utente. Twitter ha scoperto questo problema e lo ha patchato il mese scorso. Tuttavia, un recente aggiornamento del sito (non collegato a nuovi Twitter) ha fatto riemergere il problema. Questa mattina, un utente ha trovato il buco di sicurezza e ne ha approfittato su Twitter.com.



In primo luogo, qualcuno ha creato un account che sfruttava il problema girando tweet di diversi colori e causando una finestra di pop-up che compariva quando qualcuno passava sopra il link del tweet. Questo exploit che ha colpito Twitter.com non ha impatto sulla versione cellulare e le altre applicazioni mobili. La stragrande maggioranza degli exploit correlati a questo incidente sono nella categorie scherzo o promozionali. Gli utenti possono ancora vedere retweet strani nelle loro sequenze temporali causati dal exploit. 

Tuttavia, la società dichiara di non essere a conoscenza di eventuali problemi ad esso correlati che potrebbero causare danni ai computer o ai loro account. E, non vi è alcuna necessità di modificare le password in quanto le informazioni relative all'account utente non sono state compromesse a causa di questo exploit. Per ripulire i retweet infetti dal proprio account basta accedere alla versione mobile di Twitter, fare login e provvedere alla cancellazione manuale di tutti i retweet.

Nessun commento:

Posta un commento