Sicherheitslücke ließ JavaScript auf Twitter zu

Gestern ereignete sich auf Twitter etwas, womit wohl niemand gerechnet hätte. Ein 17-Jähriger Australier wollte ausprobieren ob es möglich ist, ganz normalen JavaScript in Tweets einzubinden. Er schrieb ein kleines Script (genannt mouseover) welches bewirkte, das wenn jemand mit der Maus über den Tweet fährt eine Aktion im Browser ausgeführt wird.

Aus dem Test wurde ein Super-GAU. Hacker nutzen die Lücke und twitterten über ihre Accounts den Schadcode. Durch das Überfahren mit der Maus wurde der Tweet mit dem Schadcode des Hackers automatisch retweetet und das immer so weiter. Eine Art Schneeballsystem. Innerhalb kürzester Zeit waren mehrere Tausende Twitter-Accounts mit den Manipulierten Tweets versehen, sogar der eines Pressesprechers des Pentagons.

Schon kurz nach bemerken der Sicherheitslücke gingen Techniker von Twitter an die Arbeit und laut Pressemeldungen soll die Lücke schon gegen Abend wieder geschlossen und Tweets mit Schadecode aus dem System gelöscht worden sein.

Mein Twitter-Account war übrigens auch befallen, habe mir aber selbst ausgeholfen und den Tweet über das Mobilportal gelöscht und ruhe vor dem Script gehabt. Außerdem nutze ich zum Twittern eh nur Third-Party-Applikationen 🙂