Der Juni 2010 scheint nicht der beste und hellste Monat für das Social Network Twitter zu sein. Kürzlich erst hatte das Twitter-Universum General-Serverprobleme zu erleiden, was zu einer mehrstündigen Downtime der Server und somit zur Uerreichbarkeit aller Twitter-Funktionen führte. Für Twitter als eines der meistgenutzten Social Network Communities weltweit war dies natürlich ein herber Rückschlag. Zwei Wochen später meldet sich nun das nächste, weitaus schlimmere Problem – eine große Sicherheitslücke beim Zwitscherkönig.
Foto: Rosaura Ochoa
Der Sicherheitsblog Praetorian Prefect, eine Initiative von Angestellten der Praetorian Security Group, berichtete kürzlich von der Angreifbarkeit Twitters durch so genanntes Cross-Site-Scripting (XSS). Das Cross-Site-Scripting bezeichnet das Ausnutzen einer Computersicherheitslücke, basierend auf Webanwendungen. So wird als nicht vertrauenswürdig eingestufter Kontext in vertrauenswürdigen Kontext eingefügt, aus dem dann ein Angriff auf den Nutzer gestartet werden kann – meist, um an wichtige Daten, Passwörter etc. heranzukommen.
Ursprünglich war es ein indonesischer Twitter-User mit dem Accountnamen 0wn3d_5ys, der auf diese Sicherheitslücke aufmerksam machen wollte. Obwohl es scheint, ein gut gesinnter Versuch zu sein, auf die Sicherheitslücke bei Twitter hinzuweisen, stellt dieses XSS immer noch eine große Gefahr dar. Anders als der aktuelle Twitter-Scam, bei dem User eine private Nachricht erhalten, in der sie auf einen Link mit dem Titel “Bist du das etwa?!” klicken können (Phishing), benötigt eine XSS-Attacke keinerlei Selbstinitiative des Nutzers. Es muss auf keinen Link o.ä. geklickt werden, d.h. die Attacke könnte vollständig von allein ablaufen.
Besonders das Regiestrierungsportal für den App-Bereich Twitters ist dabei einer großen Gefahr ausgesetzt. Während der Registrierung ist es erlaubt, einen verkürzten Link zu einem kurzen Javascript-Quellcode anzugeben, was dem Hack/Cross-Site-Scripting ermöglicht, aufzutreten.
Laut Bericht des Sicherheitsblogs Praetorian Prefect ist diese Sicherheitslücke seit mehreren Tagen bereits bekannt und Twitter schon informiert. Dort heißt es, man sei sich dieses Problems bewusst und versuche bereits, es für alle Twitter-Anwendungen zu lösen. Glücklicherweise ist die Lücke früh genug bekannt geworden, sodass eine weitreichende Twitter-Krise verhindert werden konnte.