Wat er fout ging bij Twitter

Twitter had vandaag te maken met een z.g. Cross-Site Scripting lek. Jobert Abma, o.a. white-hat en ethical hacker schreef op zijn blog een bericht over hoe dit mis kon gaan: Het Cross-Site Scripting lek was er niet zomaar één, het was een lek waardoor heel Twitter op zijn kop stond. Er werden tweets verstuurd, mensen gevolgd en DM’s verstuurd. Maar wat ging er nou eigenlijk mis en waar lag de uitdaging?

Het lek bevond zich in het parseren van de tweet. Zoals je waarschijnlijk weet worden links, namen en hash-tags aanklikbaar gemaakt in tweets. De combinatie van de eerste twee zorgde ervoor dat hackers attributen aan bepaalde html-elementen konden koppelen. Dit resulteerde in een hack waarmee tienduizenden accounts lastig zijn gevallen. En dat in minder dan drie uur.

Daarnaast was het een uitdaging. Hoe misbruik je een Cross-Site Scripting lek met minder dan 100 tekens tot je beschikking? De oplossing was simpel. Externe Javascript-bestanden werden gebruikt om complete scripts uit te voeren op de gebruikers zijn of haar computer. De meest innovatieve “hacks” werden geboren. Van uitloggen, waarvan het risico niet erg groot is, tot het unfollowen van alle je vrienden.

De gevolgen voor een dergelijk lek zijn niet te overzien. Zoals beschreven zijn tienduizenden accounts de dupe geworden van ongewenste tweets, spam via DM’s en spam-accounts gaan volgen. En niet alleen de twitteraars zijn de dupe, ook het imago van Twitter wordt hiermee aangetast. Als een dergelijk probleem zich vaker voordoet bij Twitter verliest het publiek haar vertrouwen in Twitter. Je slaat toch geen (privé)gegevens op bij een partij die continue kwetsbaar is voor hackers?

Rond een uur of vier, Nederlandse tijd, publiceerde Twitter dat de kwetsbaarheid opgelost was. De website van Twitter.com kon weer worden bezocht en alle geposte tweets waarin virussen waren verstopt zijn (en worden nog) verwijderd. Toch liggen niet alle problemen bij Twitter, ook de gebruiker heeft haar aandeel in de chaos.