Archivierter Artikel vom 21.09.2010, 14:31 Uhr

Sicherheitsproblem: Twitter machte sich selbstständig

Eine Sicherheitslücke bei Twitter hat am Dienstag für Aufregung unter den Nutzern gesorgt, das Phänomen hat sich explosionsartig verbreitet.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Twitternutzer kommentierten das Sicherheitsproblem meist in der für die Plattform typisch sarkastischen Art.

Teilweise sahen Nutzer in ihrer Timeline fast nur noch durch die Sicherheitslücke ausgelöste Tweets, die sich bei anderen Nutzern dann gleich weiterkopierten. In einzelnen Fällen führten in Kurzmitteilungen eingebundene Internet-Links zu einer Porno-Website in Japan.

Nutzer von Programmen wie Tweetdeck verbreiten das Problem nicht weiter und können die nervigen Tweets auch – wie hier beim Tweetdeck gezeigt – ausfiltern.
Nutzer von Programmen wie Tweetdeck verbreiten das Problem nicht weiter und können die nervigen Tweets auch – wie hier beim Tweetdeck gezeigt – ausfiltern.

Betroffen waren nur Nutzer, die Twitter nicht mit Programmen wie Echofon, Hootsuite oder Tweetdeck, sondern über die eigentliche Twitterseite www.twitter.com nutzen. Auslöser ist ein onMouseOver JavaScript-Code: Fährt ein Nutzer mit der Maus über die entsprechende Stelle, öffnet sich von selbst ein Fenster. JavaScript löst den Befehl aus – ohne Zutun des Nutzers. In der Regel kommt ein solcher Code vom Webseiten-Betreiber und ist auch gewünscht. Im konkreten Fall haben aber Unbekannte den Code bei Twitter eingeschmuggelt. Sie haben einen Tweet verfasst, der JavaScript enthält. Dieses Einschmuggeln wird Cross Site Scripting (XSS) genannt. Die Technik ist schon lange bekannt; für Twitter ist es umso peinlicher, wenn die Seite den Missbrauch nicht ausgeschlossen hat, zumal das nicht aufwendig ist. Gegen 16 Uhr berichtete dann Del Harvey, Director of Trust and Safety bei Twitter, das Problem sei behoben. Sie versicherte, Passwörter seien nicht betroffen.

Die Auswirkungen sind noch unklar: Neben Spam könnte es auch passieren, dass Nutzer Seiten gelenkt werden, die dann auch schädliche Code enthalten und so die Sicherheitsprobleme erst richtig verschärfen. Twitter-Nutzer sollten deshalb möglichst auf die Dritt-Programme ausweichen. Betroffene können laut Hinweis eines Twitter-Nutzers auch nach dem Ausschalten von JavaScript auf der Seite mobile.twitter.com die ungewollten Retweets noch löschen.

Zu den ersten Betroffenen gehörte auch Sarah Brown, die Frau des britischen Premiers. Angesichts der gut 1,1 Millionen Follower ihres Accounts@sarahbrownuk konnte ihre schnell hinterhergeschickte Warnung auch nicht mehr verhindern, dass sie das Problem massenhaft weiterverbreitete. Etwa auf der Seite www.twitterfall.com ist eindrucksvoll zu sehen, wie es es sekündlich neue Tweets rieselt.

Twitter verkündete über seinen Account @safety, das Problem der XSS-Attacke sei erkannt und es werde daran gearbeitet. Nutzer werden gebeten, in solchen Fällen direkt @safety zu informieren.

Lars Wienand