Twitter explica falha de segurança

[Mário Monteiro 179]

Twitter explica falha de segurança

 

Em um post publicado ontem em seu blog oficial, o Twitter explicou a falha de segurança que atingiu milhões de usuários da versão web da rede social.

 

Segundo o microblog, o ataque foi do tipo cross script, que utilizou uma função JavaScript chamada onMouseOver, que cria um evento no qual o mouse é passado sobre um grande bloco de texto. Ou seja, bastava passar o mouse sobre os links maliciosos para eles serem abertos.

 

O Twitter afirmou que descobriu a falha há um mês, mas uma recente atualização no site - que, segundo a empresa não tem qualquer relação com o novo Twitter - resultou na volta do problema.

 

De acordo com o microblog, a maior parte dos ataques parece ter sido de trotes ou relacionados a alguma promoção. A empresa desconhece quaisquer problemas relacionados ao ataque que tenham causado impacto no computador do usuário ou na sua conta do Twitter.

 

Com informações de Mashable

 

Fonte: iMasters

[Mário Monteiro 179]

Funcionário do Twitter já havia apontado erro no serviço em agosto

Problema foi corrigido anteriormente, mas código voltou a ser usado.

Programador do site deixou até exemplo de exploração da falha online.

 

Altieres Rohr Especial para o G1

 

Um funcionário que trabalha como programador no Twitter já havia publicado, na internet, a solução para a falha que na manhã desta terça-feira (21) impediu que milhares de usuários publicassem mensagens no site.

 

Ben Cherry, do Twitter, colocou na rede o código usado no serviço de microblog para o processamento de links. No dia 23 de agosto, Cherry fez uma atualização ao código, mostrando que uma falha havia sido corrigida, informando inclusive um exemplo de como ela poderia ser explorada.

 

Ben Cherry, do Twitter, atualiza código de processamento de links do serviço de microblog publicamente para corrigir a falha e dá exemplo de como explorá-la. (Foto: Reprodução)

 

O código está online no github, um site usado por programadores para compartilhar informações com colegas de profissão. O funcionário do Twitter postou alguns códigos, entre eles o usado no processamento de links.

 

No dia 23 de agosto, um código foi alterado no github por Cherry. O motivo era a correção de uma falha do tipo Cross-site Scripting (XSS) no caso de haver um @ (sinal utilizado para referenciar outro usuário do microblog) dentro de um link comum. Em outras palavras, é a mesma falha que atingiu o site.

 

O Twitter confirmou em uma postagem em seu blog oficial que a falha foi “corrigida há um mês”, mas que foi reintroduzida no site por um motivo não especificado. O site apenas informou que a reintrodução do código vulnerável não tem relação com o “novo Twitter”.

 

O fato de já haver um código corrigindo a falha explica a reação rápida do Twitter, que consertou a vulnerabilidade ainda pela manhã. As informações novas indicam que a falha teria sido consertada em agosto e "desconsertada" algum tempo depois, para ser novamente corrigida hoje.

 

Fonte: G1