Twitter kannte gestrige Sicherheitslücke bereits

Eine Sicherheitslücke beim Mikroblogging-Dienst Twitter sorgte gestern für Unruhe, da sich einige Würmer rasend schnell unter den Nutzern des Angebots verbreiteten. Jetzt stellte sich heraus, dass Twitter das Problem bereits seit einem Monat kannte. In einem Blog-Eintrag erklärten die Entwickler, dass sie die Sicherheitslücke bereits Ende August erkannt und behoben haben. Durch ein aktuelles Update der Website tauchte der Bug dann wieder auf. Es hängt jedoch nicht mit dem kürzlichen Redesign des Dienstes zusammen. Wie genau der Fehler wieder auftauchen konnte, erklärten die Twitter-Betreiber nicht.

Obwohl die Sicherheitslücke innerhalb weniger Stunden geschlossen wurde, verbreiteten sich mehrere Würmer schlagartig unter den Nutzern des Dienstes. Gefährlich waren diese nicht. Beispielsweise schickte einer der Schädlinge einen komplett schwarz eingefärbten Tweet an alle Follower des betroffenen Nutzers. Ein anderer verbreitete japanische Pornografie.

Die Verbreitung wurde durch die Tatsache begünstigt, dass man die in den Tweets eingebetteten Links nicht anklicken, sondern lediglich mit der Maus darüber hinweg fahren musste (Mouseover). Sofort wurde eingebetteter JavaScript-Code ausgeführt, der dann weitere Maßnahmen einleitete, beispielsweise einen Retweet der schadhaften Nachricht.

Auch wenn die gestrige Bedrohung schnell und ohne größere Schäden erstickt werden konnte, zeigt der Vorfall doch sehr deutlich, wie schnell sich Schädlinge via Twitter verbreiten können. Mit genügend krimineller Energie und etwas Vorbereitung hätte die Sicherheitslücke auf für deutlich schadhaftere Attacken ausgenutzt werden können.