Xss-fout 'owned' Twitteraars

Twee onderzoekers, Lance James en Eric Watstl, hebben een exploit ontwikkeld waarbij nietsvermoedende Twitteraars ongewild een berichtje plaatsen op hun account. Dat lijkt onschuldig, maar het kan erg veel schade berokkenen als iemand besluit om een kwaadaardigere functie achter het linkje te plaatsen.

De gedachte is ook dat Twitteraars gevoeliger zijn voor dit soort dingen. Op het microblog wordt veel gebruik gemaakt van diensten die webadressen inkorten, vooral TinyURL. Daardoor is het onduidelijker waar een gebruiker naartoe geleid wordt. Omdat berichten niet meer dan 140 karakters bevatten, zijn de lezers sneller geneigd om op een linkje met vage beschrijving te klikken. "Met technologie als Twitter kan een dergelijke truc heel veel schade aanrichten", zegt James in een chatsessie met The Register. "Het had net zo erg kunnen zijn als met dat Samy is my hero-ding." James refereert daarbij aan de Samy-worm die huis hield op MySpace. Het testlinkje die de hackers hebben gebruikt, is door TinyURL verwijderd.

Het is zeker niet de eerste keer dat Twitteraars het doelwit zijn van snode pogingen om de dienst als wormenvoer te gebruiken. Het clickjacking-fenomeen, waar gebruikers van chatclients al geruime tijd last van hebben, is al eerder aangekaart als probleem in de dienst. Nu ook steeds meer bedrijven gebruik maken van Twitter, is het wellicht iets waar beheerders even beducht voor moeten zijn.

Bron: Techworld