Twitter wijd open voor hackaanval
Ingelogde Twitter-gebruikers kunnen via een cross-site-script zonder het zelf te weten automatisch een bericht posten, blijkt uit een demonstratie van een white hat-hacker. Aangezien een hacker de inhoud van het bericht bepaalt, kan daarin een link naar een geïnfecteerde website gezet worden.
Omdat Twitter gebruikmaakt van verkorte URL’s, is het voor gebruikers moeilijk te zien waar de links naartoe gaan. De mogelijkheid om de complete link te tonen wordt weinig gebruikt, en aangezien de link van een bevriende bron lijkt te komen, is er weinig reden om achterdochtig te zijn.
De zwakte zit bij Twitter, dat het script toestaat. Zodra de gebruiker op een door de aanvaller gemaakte link klikt op een willekeurige webpagina, zendt hij automatisch een berichtje naar al zijn Twitter-volgers. Voorwaarde is wel dat de Twitter-gebruiker op dat moment is ingelogd.
De Tinyurl-link waarmee de zwakte werd aangetoond is inmiddels uit de lucht gehaald, omdat de gebruiksvoorwaarden zijn overtreden.
