Ayer los usuarios de Twitter sufrieron los efectos de una explotación de una vulnerabilidad en el sitio. Twitter tomó las medidas para corregirlo, pero quedó en evidencia como responsable al no prevenir que estos ataques sucedan.
El código de la página de Twitter no bloqueaba el uso de la instrucción de JavaScript ‘OnMouseOver’. Esto permitía que un usuario digite instrucciones en JavaScript dentro de su tweet. Estos ataques son conocidos como Cross-site scripting (XSS).
Lo que las instrucciones hacían en la computadora de cada visitante al sitio podía variar desde mostrar un inocente mensaje, redireccionar a ciertas páginas… y hasta realizar algún ataque más dañino, lo que por suerte parece no haber sucedido.
Desarrollador japonés reporta falla hace un mes
Aparentemente esta vulnerabilidad ya exisitía y fue reportada a Twitter hace más de un mes, en Agosto 14, por el desarrollador japonés Masato Kinugawa.
Twitter había corregido esta vulnerabilidad luego de recibir el reporte, pero por nuevas modificaciones recientes ese bloqueo había sido, inadvertidamente, eliminado dejando nuevamente abierta la posibilidad de ataques.
Cuando Kinugawa descubrió que la falla de seguridad había sido habilitada nuevamente, creó una cuenta en twitter @RainbowTwtr para mostrar el comportamiento de la misma.
En esa cuenta las instrucciones JavaScript dentro de los tweets hacían que cada tweet aparezca de un color distinto.
Es posible que la vulnerabilidad fuera detectada ayer por varias personas de manera independiente. Luego de hacerse pública fue modificada varias veces por diferentes personas, hasta llegar a convertirse en un gusano que podía replicarse a sí mismo al crear nuevos tweets.
Pearce Delphin de 17 años publica la vulnerabilidad
Además de Kinugawa, hay otra persona que se atribuye el descubrimiento de esta falla de seguridad, el joven australiano de 17 años Pearce Delphin (@zzap). Quien publicó su descubrimiento en forma de un pedazo de código dentro de un tweet que hacía que un mensaje ‘pop-up’ aparezca en la pantalla.
Las modificaciones posteriores fueron variadas, provocando que el navegador del usuario visite ciertos sitios por ejemplo de pornografía, y que el tweet se ‘autotwitee’.
Cuando alguien descubre una falla de seguridad, el proceso correcto a seguir es primero notificar al afectado, Twitter en este caso, del descubrimiento para que sea corregido. Pearce admite que no obró de esa manera.
Esperemos que cuando alguien descubra una nueva falla de seguridad lo informe a quien pueda solucionarla antes de explotarla de manera pública.
No han habido informes de que Twitter vaya a tomar alguna medida contra las personas que descubrieron la falla de seguridad hasta el momento. No creemos que lo vaya a hacer ya que mucha de la responsabilidad cae sobre sus hombres porque ya fueron notificados del fallo y luego de corregirlo, inintencionalmente lo volvieron a habilitar.