subject: Encurtador de links do Twitter é brecha para ataques, diz ESET [print this page] Uma falha de segurana inesperada atingiu o Twitter nesta tera-feira, 21 de setembro. Trata-se da segunda grande falha do tipo XSS (cross-site scripting) somente neste ms, j que na primeira quinzena outra falha permitia que senhas dos usurios fossem roubadas atravs de um link malicioso.
No caso de hoje, ao utilizar o site via web, os usurios viam sua timeline poluda com cores estranhas e letras gigantes. Segundo Federico Pacheco, gerente de Educao e Pesquisa da ESET (empresa europia responsvel pelo antivrus NOD32), o possvel ataque ocorreu devido a uma vulnerabilidade no encurtador de URLs do prprio Twitter, igualmente falha do incio do ms.
Dessa forma, ao passar o ponteiro do mouse por cima (mouseover) de um tweet infectado, ativado um script que faz com que o link malicioso se "retwitte" a todos os contatos. Tambm podia acontecer de abrir uma janela pop-up direcionando o usurio a um site com contedo malicioso (malware).
"Cabe esclarecer que a natureza de difuso viral desta falha NO o transforma em um vrus, sendo que no deixa de ser um clssico erro de XSS, semelhante ao comportamento de um worm, j que depende da interao do usurio para sua propagao", disse Federico Pacheco.
A equipe do Twitter diz j ter corrigido a falha, atravs do perfil oficial @Safety, e recomenda aos usurios afetados que troquem suas senhas. Em todo caso, as recomendaes da ESET para incidentes como esse so: Evitar acessar o Twitter atravs do site oficial e de clientes vulnerveis, desativar javascript no navegador ou utilizar algum bloqueador de scripts, como o plugin NoScript para Firefox.
Encurtador de links do Twitter brecha para ataques, diz ESET
