Twitter

Na última terça-feira, um bug tomou conta do Twitter colocando em destaque nos tópicos do microblog termos como: OnMouseOver e MouseOver. De acordo com a Trend Micro, multinacional especializada em segurança virtual, basicamente o que houve foi a exploração de uma falha de segurança, que já existia no Twitter, e que permitiu a inserção de um código JavaScript num tweet.

Em detalhes, os especialistas explicam que, até o momento do ataque, quando um usuário incluía um link no tweet, o microblog o reconhecia automaticamente. Depois, quando esse tweet era exibido no navegador, o endereço era ajustado para o seguinte formato: <a href="SEU_LINK" class="tweet-url" rel="nofollow" target="_blank">SEU_LINK</a> .

A falha consistia no fato de que o Twitter não fazia a verficação da presença de aspas nos endereços publicados. Dessa forma, o responsável pela invasão inseriu um link neste formato:  http://www.a.bc/@"onmouseover=alert('Sanitize user input!')//.

O problema é que o ponto de exclamação acrescentado a este endereço ativou um onmouseover. Por meio deste recurso, quando um usuário apenas move o mouse sobre o link, ativa um determinado evento.

Com esse bug, que já foi corrigido, os usuários do Twitter podiam facilmente inserir códigos JavaScript nos próprios tweets.

Pesquisadores da Trend Micro acreditam que mais de 50 mil usuários utilizaram esse recurso em um período de apenas 5 minutos de vulnerabilidade. De acordo com a empresa, o fenômeno foi inofensivo, mas durante o processo códigos maliciosos podem ter sido inseridos. Além disso, os usuários devem estar atentos a futuras falhas a serem exploradas

Comentários

Herica Barros - Fala Sério! Pode dizer que na verdade o cara da Segurança Virtual tava preso no Metrô entre o Carrão e o Tatuapé, e teve que descer e andar na via pra achar sinal, e tentou resolver pelo iphone, o que não deu muito certo.