Cronache di un attacco a Twitter (20100921)

ATTENZIONE: Questo post e' stato scritto piu' di 3 mesi fa. Potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a scrivere un commento per chiedere delucidazioni! :)

Il peggio è passato, tanti i post pubblicati (date una occhiata qui), chi più e chi meno tempestivamente “sul pezzo“. Twitter ha subito nella giornata di ieri un attacco XSS, forse meglio conosciuto come Cross-site scripting.

In breve, ecco di cosa si tratta:

Il Cross-site scripting (XSS) è una vulnerabilità che affligge siti web dinamici che impiegano un insufficiente controllo dell’input (parametri di richieste HTTP GET o contenuto di richieste HTTP POST). Un XSS permette ad un attaccante di inserire codice al fine di modificare il contenuto della pagina web visitata. In questo modo si potranno sottrarre dati sensibili presenti nel browser degli utenti che visiteranno successivamente quella pagina. Gli attacchi alle vulnerabilità XSS hanno effetti dirompenti per i siti con un elevato numero di utenti, dato che è sufficiente una sola compromissione per colpire chiunque visiti la stessa pagina.

L’attacco è partito alle 2.54 ora del pacifico (PDT), in Italia ho visto spuntar fuori il primo thread su Friendfeed circa 24 ore fa grazie a Massimo Cavazzini. L’ultima mania per gente famosa e comune messo in ginocchio da un codice javascript tutto sommato semplice (volutamente messo su più righe qui di seguito):


http://t.co/@%22onmouseover=%22document.getElementById(%27status%27)

.value=%27RT%20Matsta%27;$(%27.status-update-form%27).submit();
%22class=%22modal-overlay%22/

All’evento “onMouseOver” (semplice passaggio del mouse) sarebbe partito un retweet dell’ultimo messaggio dell’utente “Matsta (analizzato nell’esempio), innescando così un meccanismo bloccato da Twitter solo alle 7 ora del pacifico (una discreta manciata di ore dopo).

Secondo il blog ufficiale del servizio si tratta di un vecchio bug, già patchato ma tornato “disponibile” in seguito ad un aggiornamento di piattaforma che non ha nulla a che fare con il nuovo Twitter che sta per arrivare:

We discovered and patched this issue last month. However, a recent site update (unrelated to new Twitter) unknowingly resurfaced it.

Durante l’attacco anche Graham Cluley (Sophos) si è mosso realizzando un articolo che documentasse l’accaduto con immagini e casistiche varie.

Chiunque abbia utilizzato nel frattempo il sito “mobile” di Twitter non ha riscontrato alcun problema, lo stesso vale per chiunque abbia utilizzato un client di terze parti. Il consiglio ovviamente è quello di appoggiarsi a questi client quotidianamente (siete già riusciti ad utilizzare almeno una volta Twimbow?) o -se proprio non potete farne a meno- utilizzare Firefox provvisto di NoScript di Giorgio Maone (ne ho parlato anche in vecchi miei articoli).