Twitter victime d’une faille de sécuritéTwitter victime d’une faille de sécurité
publié le 21 septembre 2010 à 17h33, modifié le 3 octobre 2010 à 12h08.
Twitter a été victime ce mardi après-midi une attaque XSS (cross-site scripting) permise par son service de raccourcissement d’URL, t.co.
Des personnes ont profité de cette faille pour générer un message indésirable entièrement noir et des lettres magnifiées, qui se répliquent au simple survol par la souris à tous ses ‘suiveurs’ et ainsi de suite. Cette méthode provoquait une infection très rapide des comptes sur le site Twitter.com.
Une seconde version de la faille est apparue plus tard alors que la faille semblait comblée. Elle s’exécutait cette fois à l’affichage et recouvrait l’ensemble de la fenêtre par le lien. Celle-ci se propageait par retweet automatique.
Des liens vers des sites malveillants pouvaient être inclus dans ces spams. Les messages étaient supprimables par des applications tierces (Tweetdeck, Seesmic, Echofon) qui n’étaient pas affectées par la faille.
La faille a été comblée peu avant 16h, selon la chef de l’équipe “confiance et sécurité” de Twitter, Del Harvey et celle-ci ne devrait plus pouvoir se reproduire.
[Via Zdnet]
Twitter a été victime ce mardi après-midi une attaque XSS (cross-site scripting) permise par son service de raccourcissement d’URL, t.co.
Des personnes ont profité de cette faille pour générer un message indésirable entièrement noir et des lettres magnifiées, qui se répliquent au simple survol par la souris à tous ses ‘suiveurs’ et ainsi de suite. Cette méthode provoquait une infection très rapide des comptes sur le site Twitter.com.
Une seconde version de la faille est apparue plus tard alors que la faille semblait comblée. Elle s’exécutait cette fois à l’affichage et recouvrait l’ensemble de la fenêtre par le lien. Celle-ci se propageait par retweet automatique.
Des liens vers des sites malveillants pouvaient être inclus dans ces spams. Les messages étaient supprimables par des applications tierces (Tweetdeck, Seesmic, Echofon) qui n’étaient pas affectées par la faille.
La faille a été comblée peu avant 16h, selon la chef de l’équipe “confiance et sécurité” de Twitter, Del Harvey et celle-ci ne devrait plus pouvoir se reproduire.
[Via Zdnet]