Todo sobre el incidente "onMouseOver"

El martes 21 de Septiembre, Twitter tuvo un incidente, se manifestaba sobre todo al pasar el mouse sobre un tweet publicado, lo cual hacia que automáticamente se hiciera un RT de ese Tweet aun sin consentimiento del usuario.

Twitter explico detalladamente el incidente en su blog oficial:

Esta mañana a las 2:54 am PDT Twitter ha sido notificado de una violación a la seguridad , media hora antes e inmediatamente trabajamos para solucionar eso. Para las 7:00 am PDT, el principal problema fue resuelto. Y, a las 9:15 am PDT, una cuestión de menor importancia pero ligada o de hovercards se fijó también.
La garantía de explotación que los problemas ocasionados esta mañana, hora del Pacífico fue causado por cross-site scripting (XSS). Cross-site scripting es la práctica de colocar el código de una pagina web que no se confía en otro. En este caso, los usuarios enviaron el código Javascript como texto sin formato en un Tweet que podría ser ejecutado en el navegador de otro usuario.
Descubrimos y parcheado este tema el mes pasado. Sin embargo, una reciente actualización del sitio (no vinculados al Nuevo Twitter) sin saberlo, resurgió.
Temprano esta mañana, un usuario cuenta el agujero de seguridad y se aprovechó de ella enTwitter.com. En primer lugar, alguien creó una cuenta en el que exploto el bug y empezó a crear tweets y causando un cuadro emergente con el texto aparezca cuando alguien se cernía sobre el enlace en el Tweet. Esto es por qué la gente se está refiriendo a este onMouseOver un "defecto - la hazaña se produjo cuando posaba su mouse sobre un vinculo.
Otros usuarios fueron mas allá y pusieron un código que hacia RT sin el consentimiento de los usuarios.

Este problema afecto a Twitter.com, pero no tuvo problemas en la versión móvil o en las aplicaciones.

Y, no hay necesidad de cambiar las contraseñas de cuentas de usuario ya que la información no se vio comprometida a través de este exploit.
No sólo estamos centrados en resolver rápidamente explota cuando la superficie sino también en la identificación de posibles vulnerabilidades de antemano. Este problema se haya resuelto. Pedimos disculpas a aquellos que lo han encontrado.

  • Digg
  • del.icio.us
  • StumbleUpon
  • Yahoo! Buzz
  • Technorati
  • Facebook
  • TwitThis
  • MySpace
  • LinkedIn
  • Live
  • Google
  • Reddit
  • Sphinn
  • Propeller
  • Slashdot
  • Netvibes

0 comentarios:

Publicar un comentario en la entrada

Tus comentarios nos motivan a continuar...