Gusano aprovecha vulnerabilidad en página oficial de Twitter

Gusano aprovecha vulnerabilidad en página oficial de Twitter

Imagen (cc): Bull3t vía Flickr

Mientras estuvimos buscando huevitos durante el fin de semana en la vida real,  los creadores de Twitter se la pasaron buscando gusanos en el servicio virtual de microblogging.

Sucede que desde el sábado comenzaron a aparecer más de diez mil mensajes basura (SPAM) a través de la red social Twitter. Un gusano aprovechó un agujero de seguridad (XXS) en la página de los perfiles de usuarios en Twitter, afectando a unas 190 cuentas inicialmente.

La infección comenzó cuando el creador del gusano abrió cuatro cuentas nuevas en el servicio insertando un conjunto de instrucciones que aprovecha la vulnerabilidad. Así comenzó la propagación del código malicioso.

Cuando otro usuario visita el perfil de una persona infectada, el código JavaScript se ejecuta, mandando un mensaje con un vínculo engañoso normalmente por Twitter y a su vez, actualizando el perfil del visitante con el mismo código malulo.

Según BNOnews.com, el creador de este gusano es Mikeyy Mooney de 17 años residente en NY, EEUU. El gusano autor creó el código con el fin de enviar tráfico a su página “StalkDaily” y a llamar la atención para que alguna empresa de seguridad lo contrate. Muy inteligente, ya que al parecer, le va a caer una linda demanda legal encima.

El gusano puede ser bloqueado al desactivar JavaScript en el navegador o utilizando el plug-in NoScript para Firefox. Para los más entendidos, una copia del código malicioso se encuentra aquí.

Según Twitter el problema ya ha sido parchado exitosamente.

Link: Wily Weekend Worms (Twitter Blog) (vía PCWorld)