Tweetdeck-Hack: Twitter nimmt Dienst vorübergehend vom Netz
Kommentare

Durch eine XSS-Lücke (Cross-Site-Scripting) in TweetDeck wurden Twitter-Posts tausendfach automatisch retweetet, wie mehrere Medien berichten. Auslöser war ein Fehler in der Verarbeitung des Unicode-Herzchen-Symbols (♥), die es erlaubte Java-Script und HTML-Tags auszuführen.

Ein 19-jähriger Österreicher hatte die Sicherheitslücke in Tweetdecks webbasierter Anwendung entdeckt und sofort gemeldet. Sie wurde rege ausgenutzt, woraufhin Twitter Tweetdeck deaktivierte. Die Lücke wurde mittlerweile geschlossen.

JavaScript und HTML in Twitter

Im Normalfall verarbeiten Twitter und TweetDeck weder Java-Script, noch HTML-Tags. Sie werden als gewöhnliche Zeichen-String angezeigt. Der Nutzer Firo XI probierte Unicode-Zeichen für das Herz aus und bemerkte, dass HTML-Tags verarbeitet wurden. Ein anschließender Test mit JavaScript erwies sich ebenfalls als erfolgreich. Firo IX gelang es, seine Tweets beliebig oft zu vervielfältigen. Sie blieben nicht unbemerkt und andere Nutzer missbrauchten die Lücke, bis Twitter reagierte und Tweetdeck vorübergehend deaktivierte

Kein Missbrauch bekannt

Bislang gibt es keine Meldungen über eine böswillige Ausnutzung der Sicherheitslücke. Es wurden lediglich präparierte Tweets zusammengestellt, die sich selbst per Javascript retweeteten. Der Nutzer @derGuhn retweetete seine Meldung mit dem Hinweis auf die Tweetdeck-Sicherheitslücke über 82.000 mal. Auch wenn nichts passiert ist, ganz harmlos war der Bug nicht. Er könnte dazu benutzt worden sein, einzelne User-Konten zu kapern und damit Unfug zu treiben. Tweetdeck-Nutzern wird geraten, sich aus- und einzuloggen, damit die mittlerweile erfolgten Reparaturen übernommen werden können.

Aufmacherbild: BRUSSELS – SEPTEMBER 13: Twitter Is Going Public on September 13, 2013 in Brussels via Shutterstock / Urheber: PIXXart

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -