Twitter está siendo afectado por otra vulnerabilidad que, aunque no es claro como ha iniciado, está afectando a un gran número de personas en este momento. Consiste en el envío de dos tweets, uno de los cuales empieza con WTF y envía a un enlace con la famosa imagen de goatse.
El hack consiste en la publicación de dos mensajes, uno con un enlace que empieza con un WTF como la captura de pantalla que incluyo justo arriba de estas líneas. Justo después se publica otro mensaje como este:
De acuerdo al blog de estátus de Twitter, el problema viene de un enlace con código malicioso que genera el envío de los dos tweets en cuestión. También explican que el enlace ha sido deshabilitado y la vulnerabilidad ya ha sido arreglada:
A malicious link is making the rounds that will post a tweet to your account when clicked on. Twitter has disabled the link, and is currently resolving the issue.
Captura de pantalla del código fuente del Javascript que causa la vulnerabilidad y la publicación de los dos tweets antes mencionados (vía @stephenou):
Es impresionante, pero el problema no puede ser calificado, ni siquiera, como una vulnerabilidad o un problema de seguridad de Twitter, es más cercano al hack social:
- Una persona publica un tweet con un texto provocador, (WTF y el enlace).
- El enlace tiene un simple código Javascript (ver la captura de pantalla) en el cual vienen acciones para que, a su vez, se publiquen 2 tweets, uno de los cuales también tiene el enlace con el Javascript malicioso.
- Personas con cierta reputación en Twitter hacen click en el enlace, y en el proceso hacen que se publique en sus propias cuentas el enlace.
- Viralización inmediata. En millones de cuentas se publica el enlace, sin querer. Sumado a que Twitter el tiempo real es fundamental, esto sucede en cuestión de 5 minutos.
Esto ejemplifica el problema inherente de los enlaces cortos, y la única forma de solucionarlo es que Twitter decida no contar los enlaces como parte de los 140 caracteres de límite por tweet, de tal forma que podamos ver la dirección completa sin necesidad de recurrir a acortadores que “ocultan” el URL original.
En la web no ha pasado nada…
Doy fe, lo he visto a la misma vez que tu eduardo, están siendo eliminados todos aquellos con la dirección, han actuado rápido, pero a ver como acaba esto…
Si, no pasa nada.. tranquilo eduardo, no se esta cayendo el mundo… mucho drama.
Cambiar la pass no sirve de nada, mientras estés logueado la magia sucederá, es mejor reírse :D
Aquí en Chile se tuitea “me gusta el pico”.. La salida masiva del closet tiene conmocionados a muchos.
De hecho… no tiene nada que ver con los servicios autorizados ni con fallo en twitter.
Es un js con mucho ingenio, que aprovecha pastehtml.com (que muestra algo que hayas “pasteado” mostrándotelo “tal cual”) y que tengas la sesión abierta en twitter:
el1.src = “http://twitter.com/share/update?status=WTF:%20” + window.location; el2.src = “http://twitter.com/share/update?status=i%20love%20anal%20sex
Simple como el mecanismo de un chupete. El script se ejecuta y tú compartes sin darte cuenta.
No, no es fallo de twitter.
Sí es un fallo de twitter, eso es una vulnerabilidad básica de XSRF (http://en.wikipedia.org/wiki/Cross-site_request_forgery)… realmente, el que se le pasó algo tan básico en un sitio tan importante se merece un buen tirón de orejas.
No pasa nada tranquilo :)
Tengo una tentación tremenda en oprimir esa URL, haha :P
Aqui está la explicación técnica de lo que hace este “exploit”: http://www.sparksofentropy.com/post/1192851569/behind-the-i-love-anal-sex-with-goats-worm
cuidado con los amantes de las goats =p
creo q aqui ya tienen la explicacion….
http://www.sparksofentropy.com/post/1192851569/behind-the-i-love-anal-sex-with-goats-worm
En mi timeline solo a @earcos se lo han hecho http://yfrog.com/g4zmej
Nombre, no hay porque asustarse, ni el mundo y ni las cabras se acabaran
solo se trata de un script que abusa de lo inocente de los twiteros que lanza dos tweets automaticamente al darle click a un link…
Los de alt1040 me llenaron la timeline escribiendo cosas como “NO ABRAN un tweet que empiece con wtf” o “Cuidado con los tweets que empiezen con WTF!”
Demasiado drama solo por una vulnerabilidad que duro solo unos minutos y personalmente no se si es un troyano o un worm o simplemente codigo malicioso que realiza x accion.
Por otro lado, esta bien que mantengan a uno informado.
Yo le di click :( hahahahahahahahahahahahaha
Sí, y alguien borró el “cambien su contraseña” sin decir nada… Si te equivocas, lo dices, no pasa nada.
Y lo de “Personas con cierta reputación en Twitter ” = @earcos XD, en fin
Twiter apesta, ¿como es que lo siguen usando?
+1
“Carlos Pastrana” vos sos gay no?
Me extraña que consideren “drama” a una noticia actualizada al momento y por lo mismo sin saber qué clase de vulnerabilidad puede ser, aumentando su importancia. Para algunos Twitter es mera diversión, para otros una herramienta de trabajo muy importante. Gracias por los datos, Ed.
Me extraña que digan que no es una vulnerabilidad o un problema de seguridad. Sí es un problema de seguridad porque Twitter no debería permitir actualizar el estatus con un simple javascript desde otra página Web de una forma tan sencilla.
Ahora, tampoco es una catástrofe ni nada que se la parezca, tan simple como borrar los mensajes y se acabó, nada del otro mundo. Lo tomo más como una broma más que un “fallo serio”
De todas maneras se agradece la info, ya que muchas personas pueden caer en la broma.