2014/06/11
Tweetdeck alvo de ataque XSS
Más notícias para os utilizadores do Tweetdeck. O serviço pode agora pertencer ao próprio Twitter, mas parece ser vulnerável a ataques XSS que têm causado uma propagação "viral" de tweets entre os utilizadores deste serviço - fazendo com que o Twitter tenha suspendido o mesmo até que a situação esteja resolvida.
As vulnerabilidades XSS (cross-site-scripting) e de injecção de conteúdos significam que um atacante pode fazer com que seja executado código malicioso numa máquina remota. Neste caso, um tweet que se faz passar por um script, parece estar a ser considerado pelo Tweetdeck como sendo um script válido e fazendo um retweet automático por todos os utilizadores do Tweedeck que virem este tweet - em vez de ser considerado apenas como "texto" sem qualquer acção adicional.
Trata-se de um dos erros mais básicos (e inadmissíveis para um serviço com esta dimensão na internet), só sendo superado pela não validação de dados vindos da net, e que permitiam fazer coisas como apagar-se completamente a BD de um site ao introduzir-se algo como "DROP TABLE;" como nome na caixa de login de um qualquer serviço.
... Parece que servirá para confirmar que não é por uma empresa ou serviço ser popular na internet que isso significa automaticamente que as mais básicas regras de segurança estejam a ser seguidas.
Subscrever:
Enviar feedback (Atom)
Hoje é dia de ataques?. O Feedly também foi ao ar desde hoje cedo... Não encontrei forma de "migrar" os feeds.
ResponderEliminar