De problemen op Twitter van gisteren werden veroorzaakt door meerdere wormen, die allemaal de cross-site scripting kwetsbaarheid gebruikten in de ‘onmouseover’ techniek van Twitter, dat berichtte het beveiligingsbedrijf FSecure. Gebruikers hoefden niet eens te klikken op een link, het was al voldoende dat ze met hun cursor over de kwaadaardige tweets gingen. Die werden dan direct geretweet.

Espen Antonsen die het misbruik vroeg meldde, zegt dat de eerste wormen proof-of-concepts waren. Daarna kwamen nieuwe versies op het toneel met meer kwaadaardige bedoelingen, die de pc naar pornosites en kwaadaardige websites stuurde.

Opnieuw geïntroduceerd

De Guardian meldt dat de kwetsbaarheid is ontdekt door de Japanse ontwikkelaar Masato Kinugawa. Die heeft de fout op 14 augustus aan Twitter gemeld. Het hoofd van beveiliging van Twitter zegt in een blogpost, waarin hij het incident uitlegt, dat de bug na die melding is gedicht, maar dat die er bij een volgende update weer in terug is gerold.

Kinugawa ontdekte de bug opnieuw op 14 september toen de ‘nieuwe’ Twitter werd gelanceerd. Gistermiddag Japanse tijd heeft hij vervolgens een Twitteraccount aangemaakt met de naam ‘Rainbow Twtr’, en heeft hij zijn proof-of-concept losgelaten, waarmee hij liet zien dat je met deze XSS-kwetsbaarheid tweets andere kleuren kon geven. Het proof-of-concept kwam online toen het aan de westkunst van de VS, waar Twitter is gebaseerd, nacht was, en niemand op zulke incidenten lette.

Scary

Terwijl de beveiligers van Twitter sliepen, werd de kwetsbaarheid snel opgepakt door anderen. De eerste die er gebruik van maakte was de ontwikkelaar Magnus Holm, die op het idee kwam om de code uit te breiden zodat de tweet automatisch geretweet werd door de mousover. Eerst dacht hij dat het niet goed ging, “meh, this worm doesn’t really scale. The users can just delete the tweet :(”, twitterde hij. Vervolgens bleek dat de worm zich razendsnel verspreidde. "holy shit. I think this is exponential: "3381 more results since you started searching."", was zijn volgende boodschap. Daarna: “This is scary”.

Daarna kwamen er wormen op Twitter die mensen doorstuurden naar een Russische site, en andere die mensen lastig vielen met Japanse porno. Weer een andere veranderde de hele Twitter-pagina in een link. Bron: Techworld