TweetDeck XSS-bug gaat viraal
De webversie van TweetDeck, de officiële client van Twitter, werd woensdag geplaagd door een XSS-bug die het onder meer mogelijk maakt om automatisch tweets te retweeten.
XSS staat voor cross-site scripting. Een Oostenrijkse tiener ontdekte per toeval dat tweets in TweetDeck als normale html worden verwerkt. Daardoor is het mogelijk om javascript-code aan een tweet toe te voegen, die dan vervolgens ook wordt uitgevoerd. De 19-jarige Oostenrijker rapporteerde de softwarebug onmiddellijk aan Twitter, dat snel heeft gereageerd om het probleem op te lossen.
[related_article id=”161920″]
Maar omdat de bug ondertussen publiek bekend was gemaakt, werd er vrolijk misbruik van gemaakt door de hacker community. Die gebruikten de bug om flauwe grappen te verspreiden naar andere gebruikers. Zo stuurde de Duitse twitteraar @derGeruhn een script de wereld in dat automatisch werd geretweet door elke TweetDeck-gebruiker die de tweet zag voorbijkomen. Die tweet klokte uiteindelijk af op bijna 82.000 retweets. Anderen maakte gebruik van de bug om een pop-up in TweetDeck te laten verschijnen met een referentie naar de bekende RickRoll-meme of een schuine mop.
Hoewel mogelijk vervelend voor gebruikers, bleef het misbruik van de bug dus erg onschuldig. Het is echter goed mogelijk dat de bug al veel eerder door iemand werd ontdekt en in stilte voor niet zo’n onschuldige doeleinden werd ingezet. Daarom is het goed dat de XSS-bug nu op deze manier aan het licht is gekomen en Twitter maatregelen heeft kunnen treffen. Gebruikers zullen wel even moeten uitloggen en weer inloggen om de patch te activeren.