A partir de las 10.45 de ayer, hora de Argentina, la red social de ‘microblogging’ Twitter ha experimentando problemas en su servicio. Los usuarios veían mensajes con colores en sus líneas temporales y, al acercar el ratón a los mismos, reenviaban un mensaje malicioso, sin siquiera haber hecho clic.
Como contracara, el servicio sí funcionaba a través de dispositivos móviles, en los que los mensajes aparecían como un código, pero no podían ser reenviados.
La compañía reaccionó de inmediato y anunció que ya había identificado y solucionado el problema, un ataque XSS.

Vulnerabilidad

Según explicó la empresa de seguridad informática Sophos, el problema se debió a la explotación de una vulnerabilidad que permite que se abran páginas de terceros en el navegador, sólo con mover el mouse por la página, es decir, sin necesidad de hacer clic.
Esta vulnerabilidad permitía crear mensajes ‘ocultos’ por bloques de color, conocidos como ‘tweets arco iris’.
Esta fragilidad se aprovechaba al escribir un código de JavaScript (‘onmouseover’) dentro de una dirección URL. Al hacerlo, el usuario podía crear un mensaje ‘pop-up’ que aparecería cuando alguien pasaba el ratón por encima de dicho enlace.
Así, aunque al principio se utilizó esta vulnerabilidad como un “juego”, según Sophos, pronto empezó a ser utilizado por spammers.
Debido a su crecimiento, Twitter sufre con frecuencia caídas en su servicio y es objeto de ataques y otras actividades de delincuentes informáticos.
Son 150 millones los usuarios de la red social. Un alto porcentaje estuvo impedido por varios minutos de publicar sus mensajes de hasta 140 caracteres.

Ataque XSS

Se habla de ataques en este marco, cuando hay problemas de inseguridad informática. Esta es la falta o poca presencia de seguridad informática en un sistema operativo, aplicación, red o dispositivo, que permite su demostración por hackers éticos (sombreros blancos) o su explotación por hackers malintencionados (sombreros negros).
XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado.
Su nombre original es “Cross Site Scripting”, y es abreviado como XSS para no confundirlo con la sigla CSS, (hojas de estilo en cascada). Estos errores se pueden encontrar en cualquier aplicación que tenga como objetivo final, el presentar la información en un navegador web. No se limita a sitios web, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador en sí.