Vulnerabilidad Xss en Twitter

A lo largo del día de hoy se han venido produciendo extraños sucesos en Twitter, provocados por un ataque del tipo XSS (Cross-site scripting). Tal y como indican desde Twitter, el problema ya ha sido solucionado y el acceso ya debería ser el correcto.

A principios de septiembre, Josep Albors, director técnico de Ontinet.com, ya advirtió de dicha vulnerabilidad en este mismo blog. La incidencia ocurrida hoy es un ejemplo práctico de dicha vulnerabilidad pero modificada para hacerla más eficaz si cabe.

Tal y como comenta Federico Pacheco, jefe de investigación y educación de ESET Latinoamérica en su blog, provocaba que al acceder a Twitter viéramos letras gigantes y manchas de colores. Esto era debido a una vulnerabilidad en el acortador de urls propio de Twitter mediante la cual, al pasar el puntero del mouse por encima (onmouseover) de un tweet especialmente armado, se lanza un script que hace que por ejemplo, el vínculo malicioso se retwittee a todos los contactos.

Otra posibilidad que existía era que al visitar un perfil, automáticamente se le abra al usuario una ventana emergente que permitiría a un atacante dirigir al usuario a un sitio con contenido malicioso.

Desde el departamento técnico de ESET en Ontinet.com aconsejamos utilizar utilidades de escritorio para el uso de estas redes sociales de tipo microblogging, como pueden ser TweetDeck, Echofon, Twitterrific, Seesmic, inmunes a esta vulnerabilidad. También aconsejamos desactivar la ejecución de ActiveX y Scripts en los navegadores, para que, en el caso de que alguna otra página sufra un ataque de este tipo, no verse afectados por el mismo.

David Sánchez

Nota oficial de Twitter tras el ataque de ayer