De redactie van Dutchcowboys is te bereiken via redactie@dutchcowboys.nl
Twitter had vandaag te maken met een z.g. Cross-Site Scripting lek. Jobert Abma, o.a. white-hat en ethical hacker schreef op zijn blog een bericht over hoe dit mis kon gaan: Het Cross-Site Scripting lek was er niet zomaar één, het was een lek waardoor heel Twitter op zijn kop stond. Er werden tweets verstuurd, mensen gevolgd en DM’s verstuurd. Maar wat ging er nou eigenlijk mis en waar lag de uitdaging?
Het lek bevond zich in het parseren van de tweet. Zoals je waarschijnlijk weet worden links, namen en hash-tags aanklikbaar gemaakt in tweets. De combinatie van de eerste twee zorgde ervoor dat hackers attributen aan bepaalde html-elementen konden koppelen. Dit resulteerde in een hack waarmee tienduizenden accounts lastig zijn gevallen. En dat in minder dan drie uur.
Daarnaast was het een uitdaging. Hoe misbruik je een Cross-Site Scripting lek met minder dan 100 tekens tot je beschikking? De oplossing was simpel. Externe Javascript-bestanden werden gebruikt om complete scripts uit te voeren op de gebruikers zijn of haar computer. De meest innovatieve “hacks” werden geboren. Van uitloggen, waarvan het risico niet erg groot is, tot het unfollowen van alle je vrienden.
De gevolgen voor een dergelijk lek zijn niet te overzien. Zoals beschreven zijn tienduizenden accounts de dupe geworden van ongewenste tweets, spam via DM’s en spam-accounts gaan volgen. En niet alleen de twitteraars zijn de dupe, ook het imago van Twitter wordt hiermee aangetast. Als een dergelijk probleem zich vaker voordoet bij Twitter verliest het publiek haar vertrouwen in Twitter. Je slaat toch geen (privé)gegevens op bij een partij die continue kwetsbaar is voor hackers?
Rond een uur of vier, Nederlandse tijd, publiceerde Twitter dat de kwetsbaarheid opgelost was. De website van Twitter.com kon weer worden bezocht en alle geposte tweets waarin virussen waren verstopt zijn (en worden nog) verwijderd. Toch liggen niet alle problemen bij Twitter, ook de gebruiker heeft haar aandeel in de chaos.
Verder lezen over Twitter
Social Media17.04.2024
Nieuwe X-gebruikers moeten straks betalen voor ze mogen posten
Social Media12.04.2024
Je kunt op X niet meer verbergen dat je voor de dienst betaalt
Social Media01.04.2024
X wil Not Safe For Work-communities toestaan
Technology25.03.2024
Neuralink gaat full circle voor Musk: man tweet met gedachten
Social Media16.03.2024
Deze week viral: Max Verstapp’une en Doctor Who
Social Media13.03.2024
X wil het plekje van YouTube innemen met lange video’s op tv
Social Media14.02.2024
Valentijnsdag 2024: de leukste nieuwtjes, tweets en inhakers
Ook voor ValentijnhatersSocial Media08.02.2024