Twitter gehackt: Sicherheitslücke auf der Twitter-Website ermöglicht CrossSiteScripting

Scheinbar gibt es eine neue Lücke in Twitter, die nun ausgenutzt wurde um Schadcode zu implementieren. Im Moment ist twitter.com Infiziert durch Mouse-Over Scripts. Thirdparty-Apps scheinen im Moment nicht betroffen zu sein. Mehr Infos folgen bald…

Hinweis: Es ist ein Mouse-Over Script also nicht mit der Maus über die Tweets fahren, sonst twittert ihr diesen automatisch weiter!

Achtung: Nutzt in nächster Zeit nicht die Seite twitter.com – Anscheinend wurde die Seite gehackt.

Lösung: Eigene Spam Tweets, die durch Mouse-Over entstanden sind löschen und somit die Weiterverbreitung verhindern.

Ursache des Problems: Bug bei Twitters (Url-shortener t.co) erlaubt Javascript-Code welcher clientseitig ausgeführt wird.

Tipp:  mobile.twitter.com funktioniert einwandfrei und ist soweit sicher.

Mitterweile ist die Meldung auch bei Heise eingetroffen. Hier wird noch folgendes empfohlen:

Bei einem Test der kursierenden Demo öffnete sich ein Fenster mit den Datenschnippseln des Cookies als der Mauszeiger über den in der Twitter-Seite angezeigten Links fuhr (mouserover). Es tauchten auch zunehmend Farbflächen in Tweets auf der Twitter-Website auf, die beispielsweise automatische Retweets auslösten. Wer sich davor schützen will, sollte JavaScript deaktivieren. Das geht mit der Firefox-Erweiterung NoScript auch selektiv für bestimmte Seiten.

Twitter Clients die mit der API arbeiten sind momentan von dem Problem nicht betroffen. Diese zeigen die Tweets nach dem Muster http://t.co/@”onmouseover … an.

[Update]

Twitter hat die Timeline für öffentliche Tweets deaktiviert.

[Update]

Ein Bug in Twitters URL-Shortener t.co war scheinbar schuld. Dieser erlaubt das ausführen von Javascript-Code. Kein gutes Zeichen, dabei sollte t.co doch für Sicherheit in Twitter sorgen und soll der Standard werden.

[Update]

Der Twitter Hack wurde geschlossen.

Weitere News:

• Netzwelt