Alfonso Maruccia

Twitter, alle origini del caos

Il servizio di microblogging spiega i come e i perché della recente falla che lo ha colpito. Poteva andare molto peggio, dice Twitter, mentre un teenager australiano si dichiara colpevole per aver messo in circolazione il codice incriminato

Roma - Per Twitter è stato un autentico martedì di passione: il servizio di microblogging è caduto vittima di un attacco che ha portato alla proliferazione indiscriminata di cinguettii potenzialmente malevoli, portatori di codice JavaScript capace di reindirizzare l'utente - al semplice passaggio del mouse sul testo nascosto da bande nere a mo' di censura - su siti di terze parti.

Twitter ha individuato e chiuso velocemente la falla - una vulnerabilità di tipo Cross-Site-Scripting (XSS) - mentre ora un post ufficiale torna sull'incidente per fare il punto della situazione e rassicurare gli utenti sulle possibili conseguenze del problema su "follower" e informazioni personali. La falla, dice il membro del team di Twitter Bob Lord, era già stata individuata e corretta un anno fa, ma recenti revisioni del codice del portale l'hanno inavvertitamente riaperta.

Il problema consiste nella non corretta interpretazione di eventuale codice JavaScript presente all'interno dei tweet, codice che viene normalmente filtrato a meno che l'URL non contenga il simbolo della chiocciola. A quel punto il codice seguente viene interpretato ed eseguito, ed è così che è cominciata la proliferazione incontrollata di "auto-tweet" potenzialmente malevoli che hanno colpito una gran quantità di utenti incluso il portavoce della Casa Bianca Robert Gibbs.
Pare che la proliferazione automatica dei tweet sia cominciata per causa di Pearce Delphin, uno studente australiano diciassettenne che sostiene di aver provato a "iniettare" il codice in grado di generare cinguettii in automatico e reindirizzare la connessione per pura curiosità. Le intenzioni di Delphin non erano malevole, ma la sua idea ha fatto breccia tra alcuni dei suoi "follower" che l'hanno adattata ai loro scopi - inclusa l'apertura automatica di pagine web contenente materiale pornografico.

Fortunatamente, assicurano da Twitter, non c'è stato alcun incidente importante, nessuna proliferazione di worm distruttivi e codice ruba-password, a parte la visualizzazione dei contenuti pornografici di cui sopra. Sarebbe comunque potuta essere un'autentica strage di account, dati personali e - conseguentemente - della stessa reputazione di Twitter. Servirà da monito sui rischi connaturati all'adozione delle piattaforme di social networking con spiccata vocazione alla proliferazione "virale" delle informazioni.

Alfonso Maruccia
Notizie collegate
  • AttualitàTwitter bucato da onmouseoverSi consiglia di accedere solo via client e di non passare per nessun motivo il cursore sulle bande nere dei tweet corrotti. Al momento le prime notizie non rivelano gli autori dell'attacco - UPDATE
3 Commenti alla Notizia Twitter, alle origini del caos
Ordina