Twitter erläutert Sicherheitsprobleme
Update riss bereits geschlossene Sicherheitslücke wieder auf
Der US-Kurznachrichtendienst Twitter hat am Dienstag (Ortszeit) eine Erklärung zu seinen jüngsten technischen Problemen abgegeben und sich bei seinen Nutzern für die Unannehmlichkeiten entschuldigt. Diese seien durch eine Sicherheitslücke verursacht worden, die es erlaubt habe, im Browser ausführbaren Code in einzelne Nachrichten einzufügen. Das habe auch von unautorisierten Websites von Drittanbietern aus funktioniert (Cross Site Scripting).
Das Problem sei zuerst um etwa 11:30 Uhr MESZ aufgetreten, das Twitter-Team sei eine halbe Stunde danach darüber informiert worden. Gegen 16:00 Uhr MESZ habe die Lücke gestopft werden können, ein weiteres kleines Problem sei gegen 18:15 Uhr MESZ beseitigt worden.
Update ließ Lücke wieder entstehen
Das Twitter-Team habe diese Lücke bereits im letzten Monat gestopft. Durch eine kürzlich durchgeführte Aktualisierung der Site, die aber nichts mit dem angekündigten Relaunch der Website zu tun gehabt habe, sei die Lücke aber unbeabsichtigt wieder geöffnet und umgehend ausgenutzt worden. Zunächst habe jemand ein neues Nutzerkonto eröffnet und unter Ausnutzung der Lücke den Text seiner Kurznachrichten in verschiedenen Farben erscheinen lassen und Scripts gesendet, die Pop-up-Boxen auftauchen ließen, wenn der Nutzer mit dem Mauszeiger über eine bestimmte Stelle im Tweet fuhr (onMouseOver).
Als andere Nutzer sahen, dass die Sicherheitslücke ausgenutzt wurde, schrieben sie Code, der die Accounts anderer Nutzer dazu brachte, eine bestimmte Nachricht ohne deren Wissen weiterzuverbreiten.
Die Mobilwebsite von Twitter und die Twitter-Anwendungen für Smartphones etc. waren von dem Problem nicht betroffen.
Laut Twitter ist die Sicherheitslücke nun gestopft. Die Nutzer brauchten ihre Passwörter nicht zu ändern, so das Unternehmen.