Bruttissima settimana per Twitter: mentre il numero dei suoi utenti aumenta sensibilmente ogni giorno, ci sono stati gli ormai usuali problemi di connessione globalmente diffusi, e tanto per finire in bellezza qualche furbone è riuscito a identificare una falla nei profili dei suoi utenti, un “buco” che permetteva di inserire uno script particolarmente malizioso.
Mentre il problema è stato risolto a velocità record dagli sviluppatori del network di microblogging, vale comunque la pena raccontare quanto è successo, sperando che non ci siano “ricadute” in futuro.
Semplicemente, un hacker si è reso conto che i profili di Twitter permettevano di inserire nella sezione delle informazioni personali anche codici oltre che il solo testo: da qui inserire uno script è stato un passo ovvio per un coder di un certo livello. Il malandrino ha iniziato a creare falsi profili che contenevano questo codice, e a “sedurre” utenti di Twitter, convincendoli a visitare queste pagine con qualche scusa. Dopo tre secondi netti lo script chiedeva ai browser dei twitterers il cookie di Twitter e il loro username, e senza alcuna notifica creava un certificato di autenticazione valido per la API del sito di lifestreaming.
A questo punto l’account di Twitter dei malcapitati era “infetto”, e l’hacker faceva in modo che inviassero tweet per convicere gli amici a visitare un sito chiamato StalkDaily (e non si sa perchè, dato che tale sito risulta pulito, e privo di alcuna connessione con l’hacker responsabile). Inoltre, anche la sezione bio degli utenti infetti veniva modificata con lo script, rendendoli di fatto degli untori. Vale la pena notare che le uniche persone a rischio erano quelle che usavano la home di Twitter: i client da desktop erano del tutto immuni al problema.
Sebbene non siano stati compromessi dati bancari, informazioni sensibili, password o altro genere di dati pericolosi, questo hack è risultato essere alquanto innocuo. Per fortuna, aggiungerei: il buco era sufficientemente grosso da essere una potenziale catastrofe!