11 de junio 2014
TweetDeck, interfaz multicuenta de Twitter, ha sufrido un ataque de pop-ups y retweets.
La sorpresa que me he llevado esta tarde mientras atendía notificaciones y escribía un tweet ha sido mayúscula: TweetDeck, interfaz multicuenta bastante popular en navegadores, ha sacado a la luz una nueva vulnerabilidad que ha permitido a uno o más atacantes ejecutar código javascript en remoto. Esto ha sido percibido por sus usuarios, primero en forma de pop-ups de advertencia como “Please close now TweetDeck [sic], is it not safe.” o mismamente “Yo!”, para después empezar a retwittear automáticamente tweets con código que a su vez hacían retwittear twitts al aparecer en nuestros timelines.
El equipo de TweetDeck, conocedor de la situación, ha desactivado temporalmente todas las versiones de TweetDeck hasta que puedan arreglar el fallo. Al parecer este problema es de XSS, un tipo de scripting no exento de fallos de seguridad. Algunos investigadores ya habían señalado estas vulnerabilidades en TweetDeck, para reportarse al poco tiempo como solventadas, lo que hacía pensar que eran casos muy aislados.
Actualización: El problema parece haberse solucionado como se puede ver en el siguiente tweet. Todo ha quedado en un susto que esperamos no traiga mayores consecuencias que retwittear un “símbolo de corazón” con miles y miles de cuentas aproximadamente (en mi retweet he llegado a ver más de 50.000 retweets)
Foto: Kevin Smith
Otros artículos de interés: