‘Twitter got hacked’ explicado para dummies

La inyección de código en Twitter

La inyección de código en Twitter

A la hora de escribir esto, “Twitter got hacked” es trending topic y algunos me han preguntado qué pasa exactamente en Twitter. Vamos a explicarlo a grandes rasgos.

A media mañana, ha aparecido @RainbowTwtr, un usuario capaz de convertir su timeline en franjas de colores mediante inyecciones de código CSS (el código que utilizamos los desarrolladores para definir el aspecto gráfico de una web). Algunos hemos estado probando estos códigos, jugando a poner cosas de colores en el timeline, incluso los amigos de CSS Barcelona han conseguido poneer una imagencita muy graciosa de Chuck Norris (era complicado hacerlo sólo en los 140 caracteres de Twitter).

Hasta aquí la parte amable de esta incidencia que, pese a oler a chamusquina, al principio parecía divertida.

Lo malo ha sido cuando esas inyecciones inocuas de código CSS (sólo afecta al diseño de la web) se han convertido en inyecciones de JavaScript (el lenguaje que utilizamos los desarrolladores web para definir procesos en el ordenador de los navegantes). Esto permitía que cualquier acción del usuario, por pequeña que fuera, disparara un proceso en JavaScript capaz de lanzar un retwitt: un twitt podía retwittearse a sí mismo a través de los timelines de miles de usuarios.

140 caracteres parece poco para un procedimiento, pero teniendo en cuenta que Twitter utiliza JQuery el código se convertía en algo sencillísimo. Un usario llamado @Matsa, cuya cuenta ya ha sido suspendida, lo ha hecho utilizando este código:

http://t.co/@”onmouseover=”document.getElementById(‘status’).value=’RT Matsta’;$(‘.status-update-form’).submit();”class=”modal-overlay”/

Teniendo en cuenta que Twitter se caracteriza por la inmediatez con la que se transmite la información de unos usuarios a otros y que este tipo de twitts no requerían una acción voluntaria del usuario, la rapidez con la que se podía transferir era tremenda. Si a eso añadimos que mediante inyecciones de código javascript podemos llamar a procedimientos alojados en otras páginas web, la posibilidad de ejecutar código malicioso en las máquinas de los usuarios de Twitter ha sido tremenda.

La vulnerabilidad parece que no ha llegado a ser explotada de una forma peligrosa (al menos yo no tengo aún noticia de ello). A estas horas la falla ya ha sido corregida.

2 responses

  1. Muy bien explicado, no solo para dummies sino para imbéciles como yo. Hace cosa de dos años me dió por estudiar CSS y sus posibilidades para mi blog (ahora en obras de nuevo) y ya entonces la profesora nos comentó que era posible utilizarlo, junto al Java, para hacer maldades.

    ¡Un abrazo!

  2. Fraggleskine: la CSS es el corazón de la personalidad de tu blog, es muy interesante aprender algo, aunque sólo sea para entender qué está pasando cuando fallan las cosas, como ha sucedido hoy.

Comments are closed.