Twitter schließt XSS-Leck

SicherheitSicherheitsmanagement

Bei Twitter verbreiteten sich gestern zahlreiche Würmer, die Retweets absetzten und Benutzer auf andere Seiten weiterleiteten. Mittlerweile hat Twitter das Leck abgedichtet.

Für die Angriffe wurde ein bis dahin unbekanntes XSS-Leck (Cross-Site-Scripting) im Microblogging-Dienst ausgenutzt, durch das sich Javascript-Code einschleusen lies. Es genügte bereits, die Maus über einen Link zu bewegen, um Aktionen zu starten – zunächst wurden nur die Farben im Twitter-Account geändert und ein Popup eingeblendet, später tauchten dann mehr und mehr Würmer auf, die nicht nur einfach eine Nachricht neu posteten, um sich weiterzuverbreiten, sondern Nutzer auch auf Porno-Websites umleiteten. Schutz bot lediglich das Deaktiveren von Javascript oder der Einsatz von Twitter-Clients.

Laut Twitter hat man das Leck mittlerweile geschlossen. Betroffen war lediglich Twitter.com, nicht jedoch die Mobilseite des Services. Es habe sich zumeist um Streiche und Werbung gehandelt, betont man im Twitter-Blog, und auch wenn in einigen Timelines noch eigenartige Retweets zu finden seien, habe es keine Schäden an Computern oder Twitter-Accounts gegeben.