Пользователи Twitter пострадали от глобальной уязвимости

При работе с сервисом через веб-интерфейс всего лишь в результате движения мыши, например, поверх ссылок, у пользователей начинали отображаться новые окна и появляться текстовые сообщения. Кроме того, в микроблогах пользователей публиковались сообщения без их ведома.

Атака использовала XSS-уязвимость, которая возникла в результате запуска сценария JavaScript с использованием событие onMouseOver. Это означает, что злоумышленники встраивали фрагмент JavaScript-кода в размещаемую в микроблоге гиперссылку. В этой ссылке должно было присутствовать событие onMouseOver, которое реагировало на наведение мыши на ссылку.

Некоторые пользователи использовали эту уязвимость для публикации в своих микроблогах сообщений, окрашенных в цвета радуги. Теоретически уязвимость можно использовать для отображения спама или фишинговой атаки с помощью всплывающих окон.

За те несколько часов, которые уязвимость была доступна на сайте, хакеры эксплуатировали ее, заставляя пользователей посещать сайты с вредоносным программным обеспечением.

Источником атаки стал пользователь RainbowTwtr, опубликовавший первую ссылку, после чего пользователи стали сталкиваться с зараженными ссылками в своей ленте записей.

Известно, что через несколько часов уязвимость была устранена.