Hoje, terça, 21 de setembro, um bug (falha de segurança) no microblog Twitter lhe permitiu ser infectado por um vírus baseado num script de comportamento de mouse (#onMouseOver) em javascript, isso irritou bastante gente. Fique antenado…

Olá, leitor do NuvemSEO, se antes você precisaria clicar em link para ser contaminado, enganado ou redirecionado por um vírus, nesta manhã de terça o comportamento para ser pêgo de surpresa foi somente “passar o mouse sobre” o link contaminado. Continue…

O problema foi resolvido após o Twitter bloquear o danado. Porém uma chuva de mensagens foram infectadas ao passar o mouse sobre elas. O código criado por hacker redirecionava o usuário para um site de conteúdo pornográfico e que mostrava mensagens aleatórias em janelinhas (javascript) além de permiter acesso ao computador do usuário através dos “cookies“.

Crédito da imagem: Huffingtonpost

Muita gente sofreu e ficou sem entender nada, os comentários pululavam e nos “trendings topics” (ttBr) estava lá, a “hashtag” “#onMouseOver“. Eu mesmo não me deparei com a praguinha, mas ao pesquisar aquela tag, descobri algo assustador.

Conforme vários relatos em posts do Twitter usando a “hashtag” “#onMouseOver“, percebi vários trechos de códigos javascript demonstrando cores variadas no CSS (ou XSS, como aparecia muito essa expressão).

Veja alguns trechos publicados por usuários:

onmouseover=”;$(‘textarea:first’).val(this.innerHTML);$(‘.status-update-form’).submit()”/

onmouseover=”;$(‘textarea:first’).val(this.innerHTML);$(‘.status-update-form’).submit()” style=”color:#000;background:#000;/

No blog do Twitter neste momento tem uma postagem com este título:

“Tudo sobre o incidente onMouseOver “

Veja um trecho do post:

Terça-feira 21 setembro, 2010

O conto: Esta manhã, às 02h54 PDT Twitter foi notificada de uma exploração de segurança que surgiram cerca de meia hora antes, e que imediatamente começou a trabalhar para corrigir isso. Ao 07h00 PDT, o principal problema foi resolvido. E, por 09:15 PDT, uma questão menor, mas mais ligada à hovercards relacionados também foi corrigido.

A história mais longa: A exploração de segurança que os problemas decorrentes desta manhã, hora do Pacífico foi causado por cross-site scripting (XSS). Cross site scripting é a prática de colocar o código de um site não confiável em um outro. Neste caso, os usuários submetidos código javascript como texto simples em um Tweet que poderia ser executado no navegador de outro usuário.

Descobrimos e corrigido esse problema no mês passado. No entanto, uma recente atualização do site (não relacionado ao Twitter novo) sem saber que ressurgiu…

Leia mais no blog do Twitter aqui!

Sophos e o vídeo de segurança criado

Apesar de ter sido reparado o problema, a empresa de segurança Sophos preparou um vídeo explicando o que é o vírus e como ele comporta. (em inglês):

Dicas de segurança:

• Estão aconselhando também o uso de clientes como TweetDeck para acessar o Twitter de forma mais segura.
• Limpe o cache do seu navegador também!
• Troque sua senha de tempos em tempos (mas não de década em década).

Miniglossário:

onMouseOver =  (em Mouse sobre) comando de comportamento de mouse da linguagem de programação  Javascript. Ele define que “ao passar o mouse sobre” um elemento a ação ocorre. No caso do Twitter de hoje, o usuário era redirecionado para outro URL de site, ou fazia aparecer janelas do anda;

hashtags = são tags (etiquetas) usadas para categorizar ou organizar os assuntos no Twitter. Uma “hashtag” é simbolizada pelo sinal de “#” (jogo da velha). Ex: #onmouseover;

Trendings topics = Tópicos de tendências – são assuntos mais falados, tags mais citadas e referenciadas…

ttBr - quer dizer trendings topics Brasil;

Javascript - linguagem de programação “cliente” (executada na máquina do usuário), baseada em scripts;

Vou seguir NuvemSEO no Twitter!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~