Los ingenieros de red social Twitter.com cerraron una vulnerabilidad en la página principal de la compañía, después de que ataques que explotaban la falla afectaran a más de 500,000 usuarios.
El agujero de seguridad fue cerrado a las 9:45 AM hora del este, de acuerdo a una entrada colocada por Del Harvey (@ delbius), jefe del equipo de Confianza y Seguridad de Twitter. Investigadores de seguridad en Kaspersky Lab notaron que un ataque de código de sitios cruzados afectaba al sitio Twitter.com unas dos horas antes, alrededor de las 7:30 AM hora del Este de los EE.UU.. En el intervalo de dos horas, los ataques se extendieron como pólvora por la red social, con hasta 100 usuarios por segundo afectados, según datos de TwitScoop.com. Con base en esa cifra, y sí se considera la longitud del ataque, se logró impactar a medio millón de usuarios, según una estimación realizada por George Wicherski, analista de Kaspersky Lab.
Entre las víctimas se encuentran usuarios de alto perfil , como el secretario de prensa de la Casa Blanca, Robert Gibbs, quien quedó perplejo al notar que el Javascript malicioso afecto a 97.000 seguidores.
«Mi Twitter se volvió loco – no tengo idea de por qué envió el mensaje o incluso que es … contactaré a los chicos de tecnología …» Gibbs escribió en la cuenta @ PressSec de Twitter después de las 8:30 AM hora del este.
Los ataques se apoyan en una característica común de Javascript, onmouseover, que permite a los desarrolladores web para programar acciones discretas cuando los visitantes mueven el cursor del ratón sobre un área designada en una página Web. Los ataques fueron en su mayoría inofensivos, considerados «prueba de concepto” que simplemente vuelven a publicar el javascript de la sesión del usuario como un Tweet, dijo Costin Raiu, Jefe de los Expertos en Seguridad de Kaspersky Lab.
Tweets from infected accounts (in posts per second): Courtesy of TwitScoop
Los investigadores de Kaspersky identificaron al menos dos gusanos que también fueron lanzados en la mañana del martes, y que aprovechan el mismo agujero. El código de gusano se encontraba circulando en el IRC a pocos minutos del descubrimiento del agujero de códigos de sitios cruzados, dijo el investigador de Kaspersky Lab, Wicherski, en un blog sobre el error.
Los gusanos permitían a los atacantes infectar la cuenta de un usuario y las de sus seguidores. Sin embargo, ningún gusano lleva cargas maliciosas y al parecer no se propago tan rápidamente, dijo Wicherski.
El tráfico del ataque comenzó a disminuir a rededor de las 10:00 am hora del este, con una reducción a 40 cuentas comprometidas por minuto gracias al parche de Twitter. Sin embargo, aun así continuaron los ataques debido a que los usuarios entraron a versiones antiguas, en cache o sin reparar de la página, dijo Raiu.
Los ataques de código de sitios cruzados se encuentran entre los tipos más comunes de vulnerabilidades en la Web y son fáciles de explotar. Sin embargo, han sido más comunes en los sitios web de redes sociales complejas, como Facebook más que en Twitter, que ha instituido una red de diferentes controles y filtros para evitar los ataques de código de sitios cruzados, dijo Raiu.
Los investigadores no especificaron cómo el último agujero se deslizó a través de esta red, pero Raiu indicó que la reciente reforma del sitio Twitter.com dada a conocer el 14 de septiembre, tal vez sea la responsable por la introducción de la vulnerabilidad.
El agujero solo afecta a los usuarios que usan Twitter vía web. Clientes desarrollados por terceros para administrar las entrada de Twitter, como Twhirl y TweetDeck no fueron susceptibles a los ataques de código de sitios cruzados, indicó Raiu. Además dijo que todos los usuarios que este preocupados por futuros ataques a Twitter deben considerar cambiar a alguna de estas aplicaciones.