Todo sobre el incidente “onMouseOver”

Ayer mismo les alertábamos de la existencia en Twitter de un grave problema de seguridad por el que links en tweets podían ser ejecutados con tan sólo pasar el cursor por encima. Pues bien, una vez analizado el problema por los ingenieros de la red de microblogging, éstos son los detalles técnicos.

El problema de seguridad fue originado mediante cross-site-scripting (XSS), un tipo de inseguridad informática o agujero de seguridad basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado. En este caso, los usuarios mandaron código javascript como texto plano en un Tweet que podría ser ejecutado en el navegador de otro usuario.

Primero, alguien creó una cuenta que explotaba el problema transformando tweets a diferentes colores y causando la aparición de un popup cuando alguien pasaba sobre el link del tweet. Esta es la razón por la que  la gente se refiere a esto como defecto onMouseOver, ya que el exploit se ejecuta cuando alguien pasa el ratón sobre un link.

Otros usuarios fueron un paso más allá al añadir código que hacía que la gente retwiteara el tweet original sin saberlo…

El exploit no tuvo repercusión ni el la web móvil ni en las aplicaciones para los mismos, así que todo ha quedado en meras molestias. Los usuarios todavía pueden ver retweets extraños en sus líneas de tiempo causados por el problema. No hay necesidad de cambiar las contraseñas de cuentas de usuario, ya que la información no se vio comprometida a través de este exploit.

Vía: Twitter Blog

Compartir en Google Plus

Acerca de Jorge Autor

  • WordPress Comentarios
  • Facebook Comentarios