Twitter ist gerade wieder einmal das Opfer eines kleinen, aber schwerwiegenden Hacks geworden. Wie Sophos gerade berichtet, treibt gerade ein MouseOver-Wurm auf der Plattform sein Unwesen. Wer mit seinem Mauszeiger über Tweets gleitet, öffnet ungewollt mehrere Pop-Ups, gleichzeitig werden die Nachrichten retweetet. Um sich vor etwaigen Schadcode zu schützen, sollten die Anwender dringend darauf verzichten, das Web-Interface von Twitter zu nutzen und temporär lieber auf externe Clients ausweichen.
Twitter ist bereits über das Problem informiert, hat allerdings noch nicht öffentlich reagiert (siehe Status-Seite). Laut Sophos sollen die schwarzen Balken, die derzeit anstelle von Tweets erscheinen, die Inhalte kaschieren – der Urheber geht wohl davon aus, dass Nutzer der Zensur nur schwer widerstehen können und darauf klicken. Neben den schwarzen Balken tauchen vermehrt auch gigantische Buchstaben in den Timelines auf. Auch hier gilt: Weg mit dem Mauszeiger und den Client anwerfen. Laut DerStandard sind die neuen Twitter-Interfaces (Twitter 2.0), die diese Woche ihren globalen Roll-Out feiern sollen, bislang nicht betroffen.
Prominentestes Opfer bislang ist übrigens Sarah Brown, die Frau des früheren britischen Prime-Ministers. Der Wurm hat Pornolinks an ihre Follower verteilt, die sie auf japanische Sex-Seiten führen:
14:33 Uhr: Twitter hat offenbar gerade die Notbremse gezogen. Der Aufbau der Timeline wurde in mehreren Accounts (habe es ausprobiert) gestoppt. Im offiziellen Status-Blog (s.o.) ist allerdings noch kein Hinweis auf den Wurm aufgetaucht.
14:54 Uhr: Kaspersky ist nun an der Sache dran und berichtet, dass offenbar eine XSS-Schwachstelle (Cross-Site Scripting) die Eintrittstür für den Wurm war. Nach wie vor gilt der Rat: Lasst das Web-Interface in Ruhe und benutzt einen Client. Alternativ sollte dringend JavaScript ausgeschaltet werden.
15:01 Uhr: Hier noch ein Screenshot aus dem iPhone-Client. Die Lock-URLs werden falsch (das heißt für uns gut) intepretiert, so dass sie mit http://X.XX/@“onmouseover beginnen. Bis jetzt ist das Krisenmanagement bei Twitter – mit Verlaub – unter aller Kanone. Vielleicht ist der Wurm ein Gag, vielleicht ein schweres Problem. Trotzdem gibt es keine offiziellen Infos von Twitter.
15:11 Uhr: Die BBC hat vorhin bei Sophos angerufen und einen reichlich stinkigen Entwickler an den Hörer bekommen: „Es gibt keinen gescheiten Grund, weshalb man JavaScript twittern darf“, meint Sophos-Mann Graham Cluley. Er geht davon aus, dass die Sicherheitslücke zunächst als Scherz ausgenutzt wurde und der Wurm nun außer Kontrolle geraten ist. „Es reicht aus, bei Twitter eingeloggt zu sein und die Seiten zu betrachten, damit das eigene Konto gehackt werden kann.“ Cluley fordert Twitter auf, künftig verstärkt darauf zu achten, welche Inhalte in Tweets erlaubt sind und welche nicht.
15:27 Uhr: TechCrunch hat neue Infos. Ideengeber für den Hack sei der Account @RainbowTwtr gewesen, bei dem Regenbogen eingeblendet wurden, wenn der Mauszeiger über die Tweets wanderte. Das könnte andere Leute auf neue Ideen gebracht haben.
Espen Antonsen berichtet zudem über die zweite Vorstufe des Wurms:
So Judofyr found a XSS-exploit on Twitter.com and within minutes it spreaded like wildfire. His original tweet just set the anchor background color to black but his next tweet included onmouseover and people could not stop moving the mouse over the tweet resulting in over 40000 tweets within 10 minutes. So Twitter does not encode the URL and whatever is after the @ gets included in the anchor. So css and javascript can be included. Shortly after someone else created a more evil approach.
15:44 Uhr: Na, herzlichen Glückwunsch, das ging ja schnell. Twitter hat reagiert. Im Status-Blog heißt es dazu nun lapidar:
XSS attack identified and patched.
We’ve identified and are patching a XSS attack; as always, please message @safety if you have info regarding such an exploit. We expect the patch to be fully rolled out shortly and will update again when it is.
Die ganze Kiste ist bereits jetzt ziemlich peinlich für Twitter. Das neue Interface soll die User zurück von den Clients auf die Plattform lotsen: hier soll geklickt, hier sollen Umsätze gemacht werden. Wenn aber nicht die einfachsten Sicherheitsrisiken ausgeschlossen sind (wir erinnern uns: das war nicht das erste Mal), ist jedem Nutzer davon jedoch erst einmal abzuraten.
20.46 Uhr: Meine Damen und Herren, es ist fast neun Uhr abends, sie hören Nachrichten. Twitter regt sich endlich und berichtet, was heute eigentlich passiert ist.
5 Kommentar
Kommentare sind geschlossen.
Galt dieser Fehler nicht nur für das „alte“ Interface? Hatte ich irgendwo gelesen… ^^ Ich suchs nochmal raus…
@Sebastian: Also wenn dir das heute als Kompetenzbeweis reichte, dass Twitter 2.0 sicher ist – ich halte dich nicht auf. 🙂
Bislang ist das neue Interface ja nur vereinzelt freigeschaltet. Wenn es Allgemeingut wird, dürften einige Leute wieder Experimente wagen…
^^ ich hab heute zumindestens keinen Ärger gehabt. Selber nix gepostet, obwohl ich mehrfach diese Postings gesehen habe. Sogar mit der Maus drüber gefahren bin. Vielleicht liegts auch am Chrome oder IE9. Keine Ahnung. ^^ Mich hats verschont, aber mittlerweile isses eh gepatcht, oder?
Ich will niemandem Kompetenz unterstellen, aber auch niemandes Kompetenz in Frage stellen. ^^