Erst war es eine schöne, bunte Farbenwelt, mit der ein Account bei Twitter darstellte, dass mit einer kleinen Manipulation einzelne Tweets von CSS gestaltet werden konnten.

Das spontane Ergebnis waren euphorische Freude und gepaart mit Unverständnis in der Netzgemeinde, doch der Schein war bekanntlich wieder trügerisch.

Ich ahnte bereits, dass dies nicht mit rechten Dingen zugehen konnte. Schließlich erkannte man bei dem regenbogenfarbigen Account, dass einzelne Tweets mit CSS-Kommandos behaftet waren. Nach fast zwei Stunden schaute ich bei Twitter nach einigen aktuellen Themen und bemerkte, dass ein „lebensgroßer“ Buchstabensalat in meiner Timeline hing. Zeitgleich erfolgten automatische Postings über meinen Twitter-Account.

Als ich versuchte, die Seite zu aktualisieren und einen Hinweis auf die nicht-betroffene mobile Variante von Twitter zu geben, wurde mein Twitter-Account direkt das Opfer einer Attacke bzw. einen Hijack per CSS-Script. Prompt griff ein Bekannter von einer Münchner Agentur zum Telefon und beschwerte sich, leicht schadenfroh, bei mir, warum ich seine Timeline jetzt auch mit „Müll“ zudonnern würde. Immerhin konnte ich dem Problem durch die Apps und mobile Version nach nur wenigen Minuten Herr werden. Ich rate zudem, dass jeder, der sich von diesem Wirrwarr nicht von allein befreien kann, sein Passwort bei Twitter schnellstmöglich ändert. Solange von offizieller Stelle kein Feedback folgt, sollte man davon absehen, das Webinterface von Twitter zu verwenden.

Update:
Mehr zu dem Thema steht bei Sophos und Techcrunch. Auch die dpa hat eine passende Meldung zu dem Twitter-Hack verbreitet – hier in Version bei der Süddeutschen.

Der Fehler soll scheinbar durch einen Bug bei „t.co“, einem eigenen Dienst von Twitters zur Kürzung von URLs, verursacht worden sein, über den ein Javascript-Code mit einem „onmouseover“-Kommando clientseitig ausgeführt wurde. Dabei besticht ein fadenscheiniger Geschmack, dass genau dieser „URL-Shortener“ zur weiteren Sicherheit für die Twitter-Nutzer einen weiteren Beitrag leisten sollte.

4 Kommentare

Trackbacks & Pingbacks

  1. […] zum Thema z. B. bei Basic Thinking, heise.de, avatter, sichelputzer, TechCrunch oder […]

  2. […] Eine Weile war ja jetzt Ruhe mit den Twitter-Würmern?! Heute war es mal wieder so weit. Wenn man auf die HomePage kam, staunte man nicht schlecht über einige schwarze Einträge. Wehe aber man kam mit dem Mousezeiger darüber! Dann versandte man plötzlich den selben Blödsinn. Nach ein paar Minuten hatten die Jungs von Twitter die Sache allerdings schon deutlich im Griff, jetzt waren die Bereiche nicht mehr schwarz auf schwarz, sondern nur noch in riesengroßen, roten Buchstaben …. Im Sophos-Blog kann man sich dazu noch etwas mehr Bildchen ansehen, oder auch hier! […]

  3. […] Twitter User empfehlen sicherheitshalber die mobilen Varianten, Apps oder Desktopanwendungen zu nutzen, um dem Hack aus […]

  4. […] hier den Beitrag weiterlesen: Twitter mit CSS-Script gehackt! | MikeSchnoor.com […]

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.