一个17岁的澳大利亚男孩称
昨天twitter发生的灾难性事件是他无意间引发的。但好像在几个小时前一个日本开发者已经做了些什么。
Pearce Delphin,或者也可以叫他
@zzap,称他通过tweet一段带有OnMouseOver函数的JavaScript代码暴露这个安全漏洞。当用户的鼠标滑过消息时,就会自动弹出一个窗口。
很快,代码就被修改去做一些其他事情--自动执行RT,打开色情网站等,直到几个小时以后,twitter管理员才
修复了这个漏洞。
“我只是想试试这段代码能不能通过发一条推来执行……,在点了发送按钮那一瞬间,我也不知道将会发生什么,我想都没想。”Delphin通过email告诉
AFP。
“我发现一个漏洞,但我并没有制造一个可以自我繁殖的蠕虫病毒。据我所知,这好像不犯法。”Delphin说。他希望不要因此陷入麻烦,但是他非常有可能-这种情况下最正确的做法是向twitter报告这个漏洞。
然而,在这次事件中,这个漏洞太初级而又传播得太快,我们无法就认定Delphin要对此引发的灾难负责。Delphin说他的想法来自于另外一个家伙,一个可以使他的推变颜色的家伙,意思是他并不是第一个利用这个漏洞的人。
“另一个家伙”可能就是那个名叫Masato Kinugawa的日本开发者了,Masato Kinugawa说他在8月14号的时候向twitter报告了这个XSS漏洞,这个漏洞随之就被打了补丁,但是后来他发现这个漏洞又可以利用了……然后他就建立了一个帐号RainbowTwtr(已经被suspend),用来证明他能够发彩色推。
Twitter官方博客说:”我们上个月确实已经打了补丁,但最近的一次网站升级(跟
新版twitter无关),使这个漏洞又暴露出来。
整个事件中有一点值得注意:漏洞很简单,容易渗透,并且传播得非常迅速。twitter应该更加注重它的安全问题以防止类似的破坏事件再次发生。
via