Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 28/8/2009
Blot ved at læse en besked på Twitter kan man miste kontrollen med sin konto. Hullet er muligvis lukket nu.Sårbarheden består i, at Twitter ikke kontrollerer indholdet af bestemte typer data, som kan sendes til tjenesten. Det gør det muligt for en hacker at indlægge script-kommandoer, som vil blive afviklet, når en anden bruger læser vedkommendes beskeder.
Dermed falder sårbarheden i kategorien cross site scripting (XSS). Den kan kun bruges mod folk, der er logget ind på Twitter og læser en besked fra en angriber.
Twitterbrugeren James Slater beskrev sårbarheden i tirsdags. Dagen efter foretog Twitter en mindre ændring, der skulle fjerne den. Denne ændring var imidlertid ikke tilstrækkelig. Det demonstrerede James Slater ved at udnytte sårbarheden igen.
I en kommentar fra i dag skriver han, at sårbarheden nu muligvis er fjernet. I hvert fald virker hans demonstrationseksempel ikke længere. Han har ikke undersøgt, om det er muligt at udnytte sårbarheden på andre måder, eller om hullet nu er lukket effektivt.
Twitter har ikke kommenteret sagen.