Twitter: XSS attack


Viral: ataque en Twitter se activa al pasar puntero sobre una liga
por Efraín Ocampo

Netmedia - Un hueco en el código de Twitter ha sido explotado para dar ocasión a un nuevo ataque conocido ya como ‘onmouseover’ debido a que no hace falta dar clic en la liga maliciosa, sólo con mover el puntero con el ratón sobre ella, las cuentas son infectadas, redirigiendo el tráfico a otros sitios.

A pasar el puntero sobre un tweet que es una liga rara o extraña automáticamente es abierta en el navegador una ventana que conduce a otro sitio web el usuario es redireccionado a un sitio de pornografía, particularmente de origen japonés.


La voz se ha pasado entre los usuarios de Twitter y quienes han infectado de esta manera sus cuentas han colocado avisos advirtiendo a otros usuarios que no pasen el mouse por encima de la liga maliciosa. No obstante, investigadores en seguridad también han analizado el problema y, aunque no ofrecen una cifra, aseguran que son decenas de miles las cuentas comprometidas para estas alturas.

“Al parecer algunos usuarios están utilizando el hueco en Twitter por diversión o juegos, pero hay obviamente un potencial para que los cibercriminales lo utilicen para redirigir a los usuarios a sitios web de terceros que contengan códigos maliciosos o para desplegar spam con pop-ups de publicidad”, explica Graham Cluley, investigador principal en Sophos.

De acuerdo con Cluley, se trata de una falla en el código JavaScript del sitio de microblogging. Twitter había guardado silencio por varias horas y en el sitio los usuarios se han preguntado si la compañía está haciendo algo o no para detener el ataque, pero Twitter comunicó la mañana del martes que ha parchado el ataque XSS.

Asimismo el sitio pidió a quienes tengan información sobre lo ocurrido que envíen un mensaje a @safety para proporcionar datos que ayuden a la compañía a conocer mejor la falla.


Twitter detuvo ‘secuestro’ de cuentas

por Sergio López

Netmedia - La vulnerabilidad XSS que el lunes facilitará el ataque que comprometió 116,000 cuentas de Twitter ya fue parchada, aunque distintas variantes aún pueden estar presentes en el popular servicio, informó Stefan Tanase, investigador en seguridad.

Por medio de un enlace malicioso publicado en una cuenta en Twitter, el ataque basado en JavaScript aprovechó una vulnerabilidad cross site scripting (XSS) por medio de la cual las cookies de los usuarios fueron robadas y enviadas a dos servidores. Según Tanase, cualquier persona que dio clic en la liga sufrió el ‘secuestro’ de su cuenta.

El secuestro de las cuentas permitió a los servidores tomar el control de las mismas y enviar una gran cantidad de tweets desde éstas.

Tanase responsabiliza a Brasil como el país responsable del ataque por tres hallazgos de su investigación:

1. Los servidores donde fueron enviadas las cookies tienen nombres brasileños
2. Uno de los servidores está establecido en la nación latinoamericana
3. El tweet que esparcía el link hacía referencia a un falso accidente de una de las bandas de pop más famosas de aquel país

Por su parte Twitter anunció que ha implementado un servicio conocido como t.co el cuál compara una serie de ligas web clasificadas en una lista negra antes de que los usuarios tengan acceso a ellos.

¿Y quién tuvo la culpa?


El Comercio - Twitter se disculpó ayer ante sus millones de usuarios. Este popular servicio para enviar mensajes breves arregló una falla de seguridad luego de que su sitio sufriera un ataque informático que redireccionaba a los usuarios a páginas pornográficas japonesas.

La página de Twitter se vio inundada de mensajes o ‘tweets’ de los usuarios, quejándose de una falla de seguridad y señalando que “Twitter fue pirateado”.

El joven australiano Pearce Delphin, que en esta red aparece con el seudónimo @zzap, reconoció que, sin querer, ocasionó el caos en este portal, causando problemas en las cuentas de miles de personas.

Delphin admitió que halló un fallo en la seguridad sobre el cual se abalanzaron los ‘hackers’ sembrando el caos en esta red social.

Él introdujo un código Javascript (código de programación utilizado para páginas web) como texto normal en un mensaje. Ello desencadenó la apertura de páginas web solamente con pasar el ratón por encima.

Los ‘hackers’ hicieron suya la idea y usaron el código para redirigir a los usuarios hacia páginas pornográficas o crear ‘tweets’ (mensajes) que se repetían cada vez que eran leídos.

“Lo hice solamente para ver si se podía hacer (...) ver si el código Javascript podía utilizarse en un tweet”... Al enviar mi ‘tweet’ (mensaje de texto), nunca imaginé que esto podría acabar así”, afirmó por correo electrónico.

Millones de cuentas se vieron afectadas, como la de Sarah Brown, esposa del ex primer ministro británico, cuyos mensajes siguen más de un millón de personas.

El portavoz de la Casa Blanca, Robert Gibbs, envió un mensaje diciendo: “Mi Twitter delira. Llamo a los técnicos”.

El programador noruego Magnus Holm se adjudicó en un ‘tweet’ la responsabilidad por lo ocurrido. El ‘hacker’ dijo que quería resaltar las vulnerabilidades de seguridad en Twitter.

Holm dijo a la cadena BBC que otros ‘hackers’ maliciosos luego se aprovecharon para lanzar aplicaciones perjudiciales e incluir enlaces con sitios porno. Simplemente quería mostrar el agujero sin causar un daño real, dijo el ‘hacker’ noruego.

Por otra parte, a un usuario de nombre Matsta, aparentemente responsable por la mayoría de las aplicaciones perjudiciales, le fue suspendida su cuenta en Twitter. Los ‘hacker’ emplearon aparentemente una función del lenguaje JavaScript conocido como ‘onmouseouver’, que desencadena una acción del navegador cuando el usuario pasa el ícono del ratón (mouse) por un área determinada, sin necesidad de hacer clic.

Según un experto de la empresa Kaspersky, el código para vulnerar la seguridad de Twitter fue difundido en canales de chat. La página de inicio del conocido servicio de mensajes cortos no era reconocible por momentos.

En un mensaje oficial, Twitter confirmó que todos estos problemas ya fueron superados.

Las redes sociales alteran la vida


Estar continuamente conectado a través de medios sociales puede incrementar el estrés, deteriorar las relaciones personales e incluso causar trastornos del sueño. Esto es el resultado de un estudio realizado por la Universidad de Ciencia y Tecnología de Harrisburg, Pensilvania, EE.UU.

Tras prohibir el uso de Facebook, Twitter, mensajería instantánea y otros medios durante una semana, los estudiantes se dieron cuenta de que los medios sociales, en especial Facebook y la mensajería instantánea, si no se usan de manera apropiada, “pueden adueñarse de sus vidas”, dijo Eric Darr, decano de la facultad.

La universidad, de 800 estudiantes, impuso la prohibición para observar cómo afectaba la tecnología la vida de los estudiantes y del profesorado. La mayoría de los alumnos cumplió con el estudio que se realizó este mes.
Darr citó a un estudiante que sentía la necesidad de entrar en Facebook 21 horas al día y bloqueaba la entrada de nuevas publicaciones entre 02:00 y 05:00, para dormir un poco.

La mayoría de los estudiantes se comportó como los fumadores que se escapan después de clase para fumar. Querían escabullirse para mirar cosas en sus ‘smartphones’. Pero algunos descubrieron que se sentían menos estresados al no contar con la posibilidad de leer constantemente los estados de sus amigos en Facebook y ver que disponían de más tiempo para realizar otras cosas.

Aunque los resultados del estudio aún están siendo analizados, parecen concluir que los medios sociales deberían utilizarse como el antiguo modelo de comunicación interpersonal. "Combinar los encuentros personales con las relaciones a través de Facebook es probablemente el camino correcto”, dijo Darr. Reuters

Comentarios

Entradas más populares de este blog

Coincidencias Desafortunadas: Ángel de Hielo

Oldies Web