Portada
Hace 13 años | Por --136437-- a blogs.elpais.com
Publicado hace 13 años por --136437-- a blogs.elpais.com

El sevillano que pudo 'hackear' tu Twitter (y no lo hizo)

 blogs.elpais.com

El pantallazo que aparece sobre estas líneas y el vídeo que está bajo ellas han recorrido medio mundo. Los ha difundido Sophos, una de las grandes empresas de seguridad informática, para explicar qué ha ocurrido este mediodía con Twitter, cuando ha sufrido el problema más grave de su corta historia.@carlospf y@rafavargas ambos, veinteñeros, sevillanos y compañeros de trabajo en demartina.com, explican qué pintan en medio del huracán mediático que se ha formado alrededor del fallo de Twitter.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 9.8k 46

Comentarios

D

Es que los sevillanos somos muy así, de empezar algo y no aca

V 62
K 541
r

#4 alguien descubrió que se podía introducir CSS dentro de los tweets, nosotros lo que hicimos fue hacer la prueba de concepto de que se podía introducir JavaScript

V 23
K 191
D
editado

Ósea... que sois portada de meneame sin haber descubierto, ni hackeado ni... ¿hecho nada? Meneame cada día está más loco... y aún os creeréis alguien por haber copiado una GILIPOLLEZ de injection... en fin.

Felicidades por desperdiciar el tiempo en una "red social" que no vale un duro.

VOTO IRRELEVANTE.

#19 +1 : Además el que pudo tirar un ladrillo a tu ventana y no lo hizo, ni invento el ladrillo, ni la ventana, ni la acción de tirar.
Pero es que encima nos cuelan un SPAM de una supuesta empresa de seguridad formada por una puerta, una bolsa de panchitos y dos tios que se tiran el dia en twitter.

V 9
K 56
leader

Me encanta uno de los comentarios:

Deberían ir todos a la cárcel. Al menos, Internet debería despedir a los responsables o dejarles sin sueldo.

Pues eso, que Internet también tiene que despedir gente.

V 6
K 49
takamura

#3 ¿Qué tienen de malo «tuitear», «cederrón» y «güisqui»?

V 6
K 41
ikipol

Creo que es@carlospf, que se han equivocado en elpais.

V 2
K 39
D

De la Wikipedia:

"MouseOver" exploit

The origin is unclear but Pearce Delphin (know on twitter as@zzap) and a Scandinavian developer Magnus Holm both claim to have modified the exploit from a user who was using it to create coloured Tweets,[90] possibly Masato Kinugawa a Japanese developer who had reported the XSS vulnerability to Twitter on August 14, then found it was exploitable again, he created and account 'RainbowTwtr' and used it to post coloured messages.[90]

Delphin says he exposed the security flaw by tweeting a JavaScript function for "onMouseOver",[90] and Holmes later created the and posted the XSS Worm that automatically re-tweeted itself.[89]

No os mencionan. Muchachos, reclamad lo que es vuestro!

V 4
K 36
D
editado

#20 Pues si, yo también voto irrelevante.

V 2
K 26
s
editado

#5@rafavargas eres el puto amo tio

jajaja

V 2
K 25
D
autor

#6 A ver si alguien que pueda cambiarlo lo hace.

V 1
K 24
D

#20 Antes se llamaban Script Kiddies, ahora L33T HAX0R

V 2
K 22
ojovirtual
editado

¿Por qué pixelan la foto y no pixelan la URL? => http://blogs.elpais.com/.a/6a00d8341bfb1653ef0133f46ee8d5970b-pi

V 1
K 19
r

Ahora le llaman 'hackear' a cualquier cosa

V 2
K 19
D

¿Tenemos que aplaudir también al que pudo tirar un ladrillo a tu ventana y no lo hizo?

V 2
K 19
f
editado

A ver si os enteráis:

- Estos chavales basándose en el descubrimiento de un de otro encontraron un XSS (no un injection :P), es decir, ELLOS descubrieron como meter javascript (antes solo se cambiaban los estilos).
- Podrían haber sembrado el caos pero no lo hicieron.
- La palabra hack está perfectamente usada, ese pequeño fallo sirvió para que gente mala hiciese un gusano que se transmitía automáticamente y que la lió parda ayer.

#32 #20 Un XSS puede ser algo extremadamente peligroso, sobre todo si se puede propagar en una red como Twitter. Creo que no tenéis ni idea de lo que habláis.

V 1
K 18
D
editado

#22 yo no diría eso.. que como te metas con ellos alomejor te hacen un style.color = 'pink'; y te dejan fatal como a mi me van a hacer un style.color = 'gray'; ya verás, como cuesta decir la verdad en esta web.

V 2
K 17
r

#0 Por cierto, mi compañero es@carlospf, no@carlosfp

V 1
K 16
D

#37 +15, ojalá tubiera karisma para votarte.

V 1
K 15
r

#17 el CSS se cambiaba directamente con el atributo style. La idea aquí fue utilizar el "onmouseover" para hacer un XSS de rigor.

V 1
K 14
Cart

Estoy seguro de que mi twitter no lo podría haber hackeado.

V 0
K 13
t
editado

#0 Que se podía haber hecho con eso? Muy pocas cosas...
Mostrar una alerta, redireccionar, si acaso coger las cookies, pero recordamos que las cookies no lo son todo.

En cualquier caso me parece que "hackear" es una palabra demasiado llamativa para el artículo, más bien debería llamarse "El bug tan sencillo que twitter olvidó reparar".

Pd. No he pillado lo de "que consiste en aprovechar los descuidos ajenos para ubicar en sus escritorios una foto de David Hasselhof". Puedes cambiar el fondo de la página web de twitter, pero para nada cambiar nada del sistema operativo (ni fondo de pantalla, ni crear archivos, etc...)

Vamos, me parece una tonteria, vale si, es muy simple y deberían haberlo parcheado antes, pero por dios, que hablamos de meter javascript en una página....

V 1
K 13
chygrynsky

#34 El XSS ya es en sí inyección de código, sea CSS, javascript o lo que quieras inventarte. Si éstas personas hubiesen querido sembrar el caos no tendrían su momento de fama.

No me gustaría estar en su pellejo, sentiría vergüenza por ser noticia por algo tan estúpido, trivial y vulgar. Son víctimas de la caverna mediática españolista

V 1
K 12
angelitoMagno

Hombre, pero ellos no descubrieron el bug, ni hicieron el hackeo, ¿no? Es decir, otros descubrieron el fallo y estos dos chicos se limitaron a hacer una modificación del mismo.

V 4
K 11
D
editado

#28 JAJAJAJA +2, no espera espera, que necesitaron ser 2 para inventarselo y lo mismo se peleaban por la pasta de la patente.

#30 es reciproco

V 1
K 11
T

@RafaVargas rules!

V 0
K 10
Candidatas
58
meneos
cultura El Museo Nacional del Prado ofrece, desde hoy, visitas virtuales gratuitas en gigapixel a su colección
42
meneos
actualidad ¿Por qué faltan enfermeras en España? Ya no emigran sino que lo dejan
45
meneos
actualidad Gaza: los drones israelíes atraen a los palestinos con grabaciones de niños llorando y luego les disparan [ENG]
32
meneos
politica Navarra reconoce también a Mikel Zabalza como víctima de la violencia de la Guardia Civil
85
meneos
politica El Congreso investigará los contratos de Andalucía con Bidafarma, la farmacéutica en la que trabaja la mujer de Moreno Bonilla
34
meneos
actualidad Los ganaderos, contra el informe oficial que niega el aumento de lobos: "Es mentira"
31
meneos
cultura El Museo del Prado ofrece visitas virtuales gratuitas en gigapixel a su colección
26
meneos
cultura La Academia de Infantería de Toledo que construyeron miles de presos políticos del franquismo
39
meneos
actualidad Madrid denuncia a su proveedor postal por fraude en la entrega de multas: pagó 43 millones por el servicio
19
meneos
actualidad Las heces de los osos de la cordillera Cantábrica hablan… y tienen buenas noticias
22
meneos
actualidad Fallece la deportista de Cabanillas del Campo María Herranz Gómez
32
meneos
ocio Una madre siempre le exige a su hijo que lleve encima dinero en efectivo por si lo atropellan mortalmente y los policías necesitan dinero
27
meneos
politica El conflicto más prolongado: la permanente impunidad de Israel
32
meneos
actualidad Las mujeres que han denunciado a Dinamarca por colocarles anticonceptivos a la fuerza: “El dolor era indescriptible”
43
meneos
politica Nicolás Maduro arremete contra la hipocresía de la reacción de Occidente ante Irán
18
meneos
cultura Viñeta: La estrategia
f

#10 Pues nada, escribimos tambien guaterpolo por poner un ejemplo...

Joder que tuitear viene de Twitter, si queremos admitirla como palabra por lo menos conservemos la raiz de la palabra que para otras cosas nos ponemos muy estudiosos. Pongamos twittear

V 0
K 9
f
editado

#43 NI hola viene de Hello ni azucar de sukram por lo tanto es logico que ni se diga de una forma ni se diga de otra.
Lo que si, para las palabras derivadas de nombres si que conservamos la escritura original, por ejemplo

freudiano, na.

1. adj. Perteneciente o relativo a Sigmund Freud o a su obra. La obra freudiana

Y se pronuncia froidiano...

Claro que no hay ninguna obligacion de copiar la ortografia pero si nos ponemos,la palabra no sale en ningun diccionario ni como la escribe el escritor ni de la otra manera, pero... El uso extendido de esa palabra no es como la escribe este periodista

Por lo tanto el tio esta cometiendo una irregularidad

V 0
K 9
f

#45 Borbonico viene de Borbon no de Bourbon y la otra no se de donde sacas lo de carlusico, podrias hablarme de carlovingios como seria la raiz antigua..... pero si nos ponemos a mirar Twitter tambien es una palabra actual.......

V 0
K 9
miguemac

#12 Ole!

V 0
K 8
f

".......al que se ve retuiteando el código de ese famoso "hola" ...."

Hemos tenido que admitir "cederron" y "güisqui" y ahora tenemos que admitir "tuitear".... que sera lo siguiente????

Joder es que algunos de listos que se quieren pasar llegan al extremo de tontos... aunque tambien puede ser el caso de que no tenga ni idea de lo que es Twitter y otra persona le dictase la noticia

V 2
K 7
D

Que arte

V 0
K 7
D
editado

¿@Laurita_G Tú no eras la del buho con orejas de gato? Eso sí que fue un gran aporte a una red social, eh. A ti y a los que van rajando seguramente nunca se les hubiese ocurrido algo así, pero lo que además sospecho es que la mayoría de los que critican no saben ni lo grave que puede llegar a ser un XSS.

V 0
K 7
takamura

#41 Pues igual que decimos «hola» en vez «hello» o «azúcar» en vez de «sukram», y como ésas miles de ejemplos. No hay ninguna obligación de copiar la ortografía del idioma original, y de hecho sólo sirve para complicar las cosas (ya que tendríamos que conocer la ortografía de multitud de idiomas para saber cómo se pronuncia el nuestro).

V 0
K 7
takamura

#44 NI hola viene de Hello ni azucar de sukram

Cierto, lo dije de memoria, quería decir «sukkar». Sobre «hello», también me falló la memoria, sustitúyela por cualquier extranjerismo, por ejemplo «aceite». El argumento es el mismo. Según tú, habría que seguir diciendo azzayt ¿no?

Lo de «freudiano» es más la excepción que la regla. Al ser una palabra reciente todavía no ha evolucionado mucho. Tienes por ejemplo «borbónico» y no «bourbónico», «carolingio» y no... ¿«carolúsico»?

V 0
K 7
lexcale

Esto no es hackeo ni es nada, un fallo de diseño brutal. Y ni que el twitter fue tu cuenta bancaria.

V 0
K 6
D

He leído el artículo y no sé exactamente qué es lo que aportaron. Yo mismo hice la prueba del "Hola".
#5 Cómo cambiaban los CSS? No se hacía eso ya con javascript? No consistía la vulnerabilidad en que se podía ejecutar javascript alegremente?

V 0
K 6
chygrynsky

#20 ¿Desde cuando ser portada de menéame es algo importante? lol

El bug es una tontería que un crío de 12 años podría explotar tras su primera lección de 5 minutos de XSS. Uno de los "entrevistados" lo reconoce en la entrevista. La única noticia que hay aquí es que en vez de pasar esto en la web de tu banco (hay fallos así y peores) pues ocurre en twitter y todo el mundo se sorprende.

V 0
K 6
D

#27 Gran idea. Deberías haberlo patentado.

V 0
K 6
D

#20 Te ailof iu Lauri G, cada dia mas.

V 0
K 6
D

#20 Tus comentarios son como el vino. Conforme pasa el tiempo mejoran lol

V 0
K 6
D

#34 "there is no need to change passwords because user account information was not compromised through this exploit"
Twitter dixit.

V 0
K 6
chygrynsky

#40 Claro que se les habría ocurrido, tú piensa que un chico australiano de 17 años cuya pasión es estudiar derecho fue el verdadero "descubridor" de lo que se habla en esta noticia. Y lo entrecomillo porque el único que ha descubierto algo fue el que encontró la puerta en la que practicar XSS, y no son ni estos sevillanos ni el chico australiano.

Creo que aquí casi nadie ha jugado a inyectar código en páginas importantes. Es muy fácil, en 5 minutos se aprende y si quieres puedes salir mañana en todos los periódicos. La gente que se dedica a esto sabrá perfectamente de lo que hablo

V 0
K 6
d

Twiter acumula ya unas cuantas cagadas, a ver el meneame... alert("Hola");

V 0
K 5
dxfilipo

"El sevillano"... suena a personaje del Tekken.

V 0
K 5
D

#25
El problema con esta noticia es que es:
- Irrelevante: Cualquier persona humana con un poco de interés en el tema ha hecho lo que se describe en la noticia.
- Sensacionalista: "...pudo "hackear" tu Twitter (y no lo hizo)". Mentira. Lean el blog de Twitter (aunque puede que le quiten hierro al asunto): "there is no need to change passwords because user account information was not compromised through this exploit"
- Cansina: Ya estoy cansado de este tema lol
- Spam: Los muchachos se autopublicitan. (Bueno, esto está cogido con alfileres lol)

V 1
K -2
Armagnac

La verdad es que no entiendo el follón que se monta cuando pasan estas cosas. En el mundo "real" también se pueden "hackear" dispositivos físicos o, yendo más allá, ¿no es un atraco una forma de "hackeo" de una oficina bancaria?. Nunca he entendido esa manía de que las herramientas informáticas tienen que ser infalibles, somos humanos y somos propensos a fallar en todo lo que hacemos. Lo que tenemos que hacer es asegurarnos de que hay formas de corregir esos fallos en lugar de escandalizarnos cuando nos damos cuenta de que no somos perfectos.

V 1
K -5