Twitter gehackt: OnMouseOver Bug

Heute kam es im Verlauf des Tages über die Twitter-Webseite zur Verbreitung eines Exploits (englisch to exploit – ausnutzen)

Ein Exploit ist im EDV-Bereich ein kleines Schadprogramm bzw. eine Befehlsfolge, die Sicherheitslücken und Fehlfunktionen von Hilfs- oder Anwendungsprogrammen ausnutzt, um sich programmtechnisch Möglichkeiten zur Manipulation von PC-Aktivitäten (Administratorenrechte usw.) zu verschaffen oder Internetserver lahmzulegen (Wikipedia)

Konkret wurde eine Javascript-Lücke genutzt. Die Funktion onMouseOver wurde genutzt, um den Schadcode auszuführen. Bewegte man die Mouse über eine entsprechende Stelle auf der Webseite, die als Link im Browser erkannt wurde, führte dies zur Ausführung des Exploits mit dem Ergebnis, dass von nun ab vom eigenen Account der Exploit per Direktnachricht oder offenem Tweet weiter verteilt wurde.

Aktuell hat Twitter im Statusblog angekündigt bereits an der Behebung des Exploits zu arbeiten. Man gehe davon aus, dass der Patch im Laufe der nächsten Stunden über alle Server ausgerollt sei.

We’ve identified and are patching a XSS attack; as always, please message @safety if you have info regarding such an exploit. We expect the patch to be fully rolled out shortly and will update again when it is.

Ein Beispiel des bereits ausgeführten Exploits kann man hier sehen (Mashable hat einen Screenshot gepostet)

Der Explot soll neben Pop-ups auch auf diverse Adult-Seiten geführt haben. Bis zum vollständigen Rollout des Patches sollte man entweder eine der vielen Desktop-App zum Twittern nutzen, oder einfach abwarten.

Update: Soeben hat Twitter im Statusblog verkündet, der Patch sei vollständig ausgerollt.

Back to Work!