Twitter spiega cosa è successo nei giorni scorsi

Twitter spiega cosa è successo nei giorni scorsi

Twitter ha diffuso un comunicato in cui riassume le caratteristiche dell'attacco subito e spiega le ripercussioni sul proprio network

di Fabio Boneschi pubblicata il , alle 10:31 nel canale Sicurezza
Twitter
 

Twitter ritorna sul problema di sicurezza che nei giorni scorsi ha interessato il proprio network. La società con una nota ufficiale puntualizza l'accaduto, le fasi relative all'individuazione e alla risoluzione del problema. Riprendiamo i fatti citando per comodità una nota diffusa da Sophos, società impegnata nello sviluppo di soluzioni di sicurezza:

Sophos mette in guardia tutti gli utenti Twitter su una nuova falla, potenzialmente molto dannosa, recentemente scoperta sul popolare social network: sfruttando la possibilità di inserire codici javascript all’interno dei messaggi, è possibile infatti richiamare la cosiddetta funzione “onmouseover” che permette a messaggi pop-up e siti web esterni di aprirsi sul browser del pc al semplice passaggio del mouse sopra il corrispondente link.

Il problema è stato risolto in circa 5 ore di lavoro e al momento non si conoscono le proporzioni dell'attacco. Twitter sottolinea che i singoli account non sono stati violati e non è necessario che gli utenti modifichino per sicurezza la propria password. Inoltre, come ripostato nella nota ufficiale, Twitter sottolinea come solo il dominio twitter.com abbia subito problemi: per le risorse dedicate ai dispositivi mobile non si segnala alcun inconveniente.

Il problema di sicurezza risolto da Twitter pare essere un argomento noto e già in passato risolto lo scorso mese. Non è chiaro il motivo per cui tale vulnerabilità si ritornata utilizzabile, anche se pare che il fatto non sia strettamente legato alla nuova versione di Twitter preannunciata alcuni giorni fa.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Perseverance22 Settembre 2010, 11:31 #1
Sophos mette in guardia tutti gli utenti Twitter su una nuova falla, potenzialmente molto dannosa, recentemente scoperta sul popolare social network: sfruttando la possibilità di inserire codici javascript all’interno dei messaggi, è possibile infatti richiamare la cosiddetta funzione “onmouseover” che permette a messaggi pop-up e siti web esterni di aprirsi sul browser del pc al semplice passaggio del mouse sopra il corrispondente link.

Il problema è stato risolto in circa 5 ore di lavoro e al momento non si conoscono le proporzioni dell'attacco. Twitter sottolinea che i singoli account non sono stati violati e non è necessario che gli utenti [B][COLOR="Red"]modifichino per sicurezza la propria password[/COLOR][/B].


E' da ridere , come dire "non mi si accende l'automobile, per sicurezza ho cambiato le gomme". Ma che gente c'è nel mondo...
alexdal22 Settembre 2010, 12:31 #2
guarda che e' scritto "NON" e' necessario
Perseverance22 Settembre 2010, 12:56 #3
APPUNTO !! Se hanno dovuto specificare che non c'entra nulla l'account e la password, significa che la gente fà le cose in modo autistico, sono tutti matti che c'è bisogno di dire una cosa così semplice e scontata?

A questo punto avrebbero potuto anche dire: "non c'è bisogno di cambiare il refresh video da 50 a 60hz". Questo basta a confermare la pulizia mentale della gente che frequenta questi social netuorc



E poi "ATTACCO", e che èè un attentato un po' di codice javascript nei messaggi? Una volta si usava anche nelle board dei forum, poi è stato disabilitato. C'è anche scritto qui da noi in fondo:
Non Puoi aprire nuove discussioni
Puoi rispondere ai messaggi
Puoi allegare file
Puoi modificare i tuoi messaggi
Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
DodoAlien22 Settembre 2010, 13:16 #4
beh contando che basta che uno dei tuoi contatti fosse "infetto" che automaticamente venivi infettato anche tu

nella prima versione si usava un onmouseover per replicare un messaggio e twittarlo in automatico
altri "geniacci" capito il funzionamento hanno creato codice in modo che questo venisse si twittato in automatico ma ti ponesse una mask grande quanto il mondo che ovunque tu cliccassi potevano farti fare quello che volevano

sul profilo della moglie del primo ministro inglese per esempio (1 milione di contatti) il "bug" portava a dei simpatici siti giapponesi con orientali ignude...

metti un XSS come questo, una pagina fatta ad hoc, un redirect su onmouseover e di danni ne fai per bene..
Perseverance22 Settembre 2010, 13:24 #5
La gente non sà nemmeno cosa sia uno script, figurati se sanno la differenza con un cross-script. Cmq mi piace l'accaduto, è bello leggere di tanti colpiti mentre spettegolano a destra e a manca, è bene, ci godo come un porcellino. Giustizia divina muahahah

Anche xkè basta un plugin per essere al sicuro.
DodoAlien22 Settembre 2010, 13:26 #6
evidentemente nemmeno i dev di twitter sanno cos'è un XSS se hanno lasciato campo libero
Sako22 Settembre 2010, 13:57 #7
Quindi ora danno una passata di htmlentities() in output?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^