Portada
Hace 13 años | Por --136437-- a blogs.elpais.com
Publicado hace 13 años por --136437-- a blogs.elpais.com

El sevillano que pudo 'hackear' tu Twitter (y no lo hizo)

 blogs.elpais.com

El pantallazo que aparece sobre estas líneas y el vídeo que está bajo ellas han recorrido medio mundo. Los ha difundido Sophos, una de las grandes empresas de seguridad informática, para explicar qué ha ocurrido este mediodía con Twitter, cuando ha sufrido el problema más grave de su corta historia.@carlospf y@rafavargas ambos, veinteñeros, sevillanos y compañeros de trabajo en demartina.com, explican qué pintan en medio del huracán mediático que se ha formado alrededor del fallo de Twitter.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 9.8k 46

Comentarios

D

Es que los sevillanos somos muy así, de empezar algo y no aca

V 62
K 541
leader

Me encanta uno de los comentarios:

Deberían ir todos a la cárcel. Al menos, Internet debería despedir a los responsables o dejarles sin sueldo.

Pues eso, que Internet también tiene que despedir gente.

V 6
K 49
ikipol

Creo que es@carlospf, que se han equivocado en elpais.

V 2
K 39
D

De la Wikipedia:

"MouseOver" exploit

The origin is unclear but Pearce Delphin (know on twitter as@zzap) and a Scandinavian developer Magnus Holm both claim to have modified the exploit from a user who was using it to create coloured Tweets,[90] possibly Masato Kinugawa a Japanese developer who had reported the XSS vulnerability to Twitter on August 14, then found it was exploitable again, he created and account 'RainbowTwtr' and used it to post coloured messages.[90]

Delphin says he exposed the security flaw by tweeting a JavaScript function for "onMouseOver",[90] and Holmes later created the and posted the XSS Worm that automatically re-tweeted itself.[89]

No os mencionan. Muchachos, reclamad lo que es vuestro!

V 4
K 36
D

#37 +15, ojalá tubiera karisma para votarte.

V 1
K 15
r

Ahora le llaman 'hackear' a cualquier cosa

V 2
K 19
ojovirtual
editado

¿Por qué pixelan la foto y no pixelan la URL? => http://blogs.elpais.com/.a/6a00d8341bfb1653ef0133f46ee8d5970b-pi

V 1
K 19
D

¿Tenemos que aplaudir también al que pudo tirar un ladrillo a tu ventana y no lo hizo?

V 2
K 19
D
editado

Ósea... que sois portada de meneame sin haber descubierto, ni hackeado ni... ¿hecho nada? Meneame cada día está más loco... y aún os creeréis alguien por haber copiado una GILIPOLLEZ de injection... en fin.

Felicidades por desperdiciar el tiempo en una "red social" que no vale un duro.

VOTO IRRELEVANTE.

#19 +1 : Además el que pudo tirar un ladrillo a tu ventana y no lo hizo, ni invento el ladrillo, ni la ventana, ni la acción de tirar.
Pero es que encima nos cuelan un SPAM de una supuesta empresa de seguridad formada por una puerta, una bolsa de panchitos y dos tios que se tiran el dia en twitter.

V 9
K 56
D
editado

#20 Pues si, yo también voto irrelevante.

V 2
K 26
D

#20 Antes se llamaban Script Kiddies, ahora L33T HAX0R

V 2
K 22
D
editado

#22 yo no diría eso.. que como te metas con ellos alomejor te hacen un style.color = 'pink'; y te dejan fatal como a mi me van a hacer un style.color = 'gray'; ya verás, como cuesta decir la verdad en esta web.

V 2
K 17
chygrynsky

#20 ¿Desde cuando ser portada de menéame es algo importante? lol

El bug es una tontería que un crío de 12 años podría explotar tras su primera lección de 5 minutos de XSS. Uno de los "entrevistados" lo reconoce en la entrevista. La única noticia que hay aquí es que en vez de pasar esto en la web de tu banco (hay fallos así y peores) pues ocurre en twitter y todo el mundo se sorprende.

V 0
K 6
D

#25
El problema con esta noticia es que es:
- Irrelevante: Cualquier persona humana con un poco de interés en el tema ha hecho lo que se describe en la noticia.
- Sensacionalista: "...pudo "hackear" tu Twitter (y no lo hizo)". Mentira. Lean el blog de Twitter (aunque puede que le quiten hierro al asunto): "there is no need to change passwords because user account information was not compromised through this exploit"
- Cansina: Ya estoy cansado de este tema lol
- Spam: Los muchachos se autopublicitan. (Bueno, esto está cogido con alfileres lol)

V 1
K -2
D

#20 Te ailof iu Lauri G, cada dia mas.

V 0
K 6
D
editado

#28 JAJAJAJA +2, no espera espera, que necesitaron ser 2 para inventarselo y lo mismo se peleaban por la pasta de la patente.

#30 es reciproco

V 1
K 11
D

#20 Tus comentarios son como el vino. Conforme pasa el tiempo mejoran lol

V 0
K 6
f
editado

A ver si os enteráis:

- Estos chavales basándose en el descubrimiento de un de otro encontraron un XSS (no un injection :P), es decir, ELLOS descubrieron como meter javascript (antes solo se cambiaban los estilos).
- Podrían haber sembrado el caos pero no lo hicieron.
- La palabra hack está perfectamente usada, ese pequeño fallo sirvió para que gente mala hiciese un gusano que se transmitía automáticamente y que la lió parda ayer.

#32 #20 Un XSS puede ser algo extremadamente peligroso, sobre todo si se puede propagar en una red como Twitter. Creo que no tenéis ni idea de lo que habláis.

V 1
K 18
D

#34 "there is no need to change passwords because user account information was not compromised through this exploit"
Twitter dixit.

V 0
K 6
chygrynsky

#34 El XSS ya es en sí inyección de código, sea CSS, javascript o lo que quieras inventarte. Si éstas personas hubiesen querido sembrar el caos no tendrían su momento de fama.

No me gustaría estar en su pellejo, sentiría vergüenza por ser noticia por algo tan estúpido, trivial y vulgar. Son víctimas de la caverna mediática españolista

V 1
K 12
r

#0 Por cierto, mi compañero es@carlospf, no@carlosfp

V 1
K 16
D
autor

#6 A ver si alguien que pueda cambiarlo lo hace.

V 1
K 24
r

#17 el CSS se cambiaba directamente con el atributo style. La idea aquí fue utilizar el "onmouseover" para hacer un XSS de rigor.

V 1
K 14
D

#27 Gran idea. Deberías haberlo patentado.

V 0
K 6
Cart

Estoy seguro de que mi twitter no lo podría haber hackeado.

V 0
K 13
t
editado

#0 Que se podía haber hecho con eso? Muy pocas cosas...
Mostrar una alerta, redireccionar, si acaso coger las cookies, pero recordamos que las cookies no lo son todo.

En cualquier caso me parece que "hackear" es una palabra demasiado llamativa para el artículo, más bien debería llamarse "El bug tan sencillo que twitter olvidó reparar".

Pd. No he pillado lo de "que consiste en aprovechar los descuidos ajenos para ubicar en sus escritorios una foto de David Hasselhof". Puedes cambiar el fondo de la página web de twitter, pero para nada cambiar nada del sistema operativo (ni fondo de pantalla, ni crear archivos, etc...)

Vamos, me parece una tonteria, vale si, es muy simple y deberían haberlo parcheado antes, pero por dios, que hablamos de meter javascript en una página....

V 1
K 13
angelitoMagno

Hombre, pero ellos no descubrieron el bug, ni hicieron el hackeo, ¿no? Es decir, otros descubrieron el fallo y estos dos chicos se limitaron a hacer una modificación del mismo.

V 4
K 11
r

#4 alguien descubrió que se podía introducir CSS dentro de los tweets, nosotros lo que hicimos fue hacer la prueba de concepto de que se podía introducir JavaScript

V 23
K 191
s
editado

#5@rafavargas eres el puto amo tio

jajaja

V 2
K 25
D

He leído el artículo y no sé exactamente qué es lo que aportaron. Yo mismo hice la prueba del "Hola".
#5 Cómo cambiaban los CSS? No se hacía eso ya con javascript? No consistía la vulnerabilidad en que se podía ejecutar javascript alegremente?

V 0
K 6
T

@RafaVargas rules!

V 0
K 10
Candidatas
27
meneos
ocio Polonia - La agencia de viajes de García-Castellón
69
meneos
actualidad Condenada Ángela Rodríguez "Pam" por llamar "maltratador" al ex de María Sevilla, presidenta de Infancia Libre
41
meneos
actualidad El nudismo vuelve a estar permitido en Hendaia
26
meneos
cultura Alex Garland imagina una guerra civil en EEUU: “Trump es un extremista que se ha apoderado de un partido convencional”
18
meneos
cultura Cómo libraban la guerra en alta mar los antiguos griegos (ENG)
20
meneos
cultura Una larga avenida columnada romana descubierta en la ciudad de Antalya
80
meneos
actualidad Las campañas de desinformación suelen ser de triple capa: digital, mediática y política. Un buen ejemplo es la campaña del PP #AyusoTeníaRazón
27
meneos
actualidad Piden al juez el embargo de bienes preventivo a un secretario de Estado, un consejero y otros tres alcaldes de Almería
25
meneos
actualidad La OMS alerta que nueva cepa mutante de viruela del mono en el Congo representa un riesgo global para la salud
15
meneos
ciencia La ciencia revela a qué edad empieza el envejecimiento celular
51
meneos
actualidad Amazon espía a sus rivales infiltrando a sus empleados en otras
f

#45 Borbonico viene de Borbon no de Bourbon y la otra no se de donde sacas lo de carlusico, podrias hablarme de carlovingios como seria la raiz antigua..... pero si nos ponemos a mirar Twitter tambien es una palabra actual.......

V 0
K 9
f
editado

#43 NI hola viene de Hello ni azucar de sukram por lo tanto es logico que ni se diga de una forma ni se diga de otra.
Lo que si, para las palabras derivadas de nombres si que conservamos la escritura original, por ejemplo

freudiano, na.

1. adj. Perteneciente o relativo a Sigmund Freud o a su obra. La obra freudiana

Y se pronuncia froidiano...

Claro que no hay ninguna obligacion de copiar la ortografia pero si nos ponemos,la palabra no sale en ningun diccionario ni como la escribe el escritor ni de la otra manera, pero... El uso extendido de esa palabra no es como la escribe este periodista

Por lo tanto el tio esta cometiendo una irregularidad

V 0
K 9
takamura

#44 NI hola viene de Hello ni azucar de sukram

Cierto, lo dije de memoria, quería decir «sukkar». Sobre «hello», también me falló la memoria, sustitúyela por cualquier extranjerismo, por ejemplo «aceite». El argumento es el mismo. Según tú, habría que seguir diciendo azzayt ¿no?

Lo de «freudiano» es más la excepción que la regla. Al ser una palabra reciente todavía no ha evolucionado mucho. Tienes por ejemplo «borbónico» y no «bourbónico», «carolingio» y no... ¿«carolúsico»?

V 0
K 7
f

".......al que se ve retuiteando el código de ese famoso "hola" ...."

Hemos tenido que admitir "cederron" y "güisqui" y ahora tenemos que admitir "tuitear".... que sera lo siguiente????

Joder es que algunos de listos que se quieren pasar llegan al extremo de tontos... aunque tambien puede ser el caso de que no tenga ni idea de lo que es Twitter y otra persona le dictase la noticia

V 2
K 7
takamura

#3 ¿Qué tienen de malo «tuitear», «cederrón» y «güisqui»?

V 6
K 41
f

#10 Pues nada, escribimos tambien guaterpolo por poner un ejemplo...

Joder que tuitear viene de Twitter, si queremos admitirla como palabra por lo menos conservemos la raiz de la palabra que para otras cosas nos ponemos muy estudiosos. Pongamos twittear

V 0
K 9
takamura

#41 Pues igual que decimos «hola» en vez «hello» o «azúcar» en vez de «sukram», y como ésas miles de ejemplos. No hay ninguna obligación de copiar la ortografía del idioma original, y de hecho sólo sirve para complicar las cosas (ya que tendríamos que conocer la ortografía de multitud de idiomas para saber cómo se pronuncia el nuestro).

V 0
K 7
D

Que arte

V 0
K 7
miguemac

#12 Ole!

V 0
K 8
D
editado

¿@Laurita_G Tú no eras la del buho con orejas de gato? Eso sí que fue un gran aporte a una red social, eh. A ti y a los que van rajando seguramente nunca se les hubiese ocurrido algo así, pero lo que además sospecho es que la mayoría de los que critican no saben ni lo grave que puede llegar a ser un XSS.

V 0
K 7
chygrynsky

#40 Claro que se les habría ocurrido, tú piensa que un chico australiano de 17 años cuya pasión es estudiar derecho fue el verdadero "descubridor" de lo que se habla en esta noticia. Y lo entrecomillo porque el único que ha descubierto algo fue el que encontró la puerta en la que practicar XSS, y no son ni estos sevillanos ni el chico australiano.

Creo que aquí casi nadie ha jugado a inyectar código en páginas importantes. Es muy fácil, en 5 minutos se aprende y si quieres puedes salir mañana en todos los periódicos. La gente que se dedica a esto sabrá perfectamente de lo que hablo

V 0
K 6
lexcale

Esto no es hackeo ni es nada, un fallo de diseño brutal. Y ni que el twitter fue tu cuenta bancaria.

V 0
K 6
d

Twiter acumula ya unas cuantas cagadas, a ver el meneame... alert("Hola");

V 0
K 5
dxfilipo

"El sevillano"... suena a personaje del Tekken.

V 0
K 5
Armagnac

La verdad es que no entiendo el follón que se monta cuando pasan estas cosas. En el mundo "real" también se pueden "hackear" dispositivos físicos o, yendo más allá, ¿no es un atraco una forma de "hackeo" de una oficina bancaria?. Nunca he entendido esa manía de que las herramientas informáticas tienen que ser infalibles, somos humanos y somos propensos a fallar en todo lo que hacemos. Lo que tenemos que hacer es asegurarnos de que hay formas de corregir esos fallos en lugar de escandalizarnos cuando nos damos cuenta de que no somos perfectos.

V 1
K -5