Month of Twitter Bugs gestartet

Aviv Raff hat den für Juli angekündigten "Month of Twitter Bugs" mit der Veröffentlichung von vier Schwachstellen im URL-Verkürzer-Dienst bit.ly eröffnet. Alle vier ermöglichen Cross-Site-Scripting-Attacken über manipulierte Formularfelder, wenn ein Opfer eine Seite auf bit.ly aufruft. Damit ist es etwa einem Angreifer möglich, durch den Aufruf der von bit.ly genutzten Twitter-API beliebige Tweets im Twitter-Konto des Opfers zu veröffentlichen.

Die Betreiber von bit.ly haben nach Angaben von Raff rund anderthalb Monate benötigt, um drei der Lücken vor der Veröffentlichung zu beseitigen, eine vierte ist indes immer noch vorhanden. Da bit.ly eine sehr große Nutzerbasis aufweise und trotzdem eine derart lange Reaktionszeit habe, könne man nach Meinung von Raff aus Sicherheitssicht nur noch hoffen. Bit.ly ist Schätzungen zufolge nach tinyurl der meistgenutzte URL-Shortening-Service.

Aviv Raff hatte Mitte Juni den "Month of Twitter Bugs" (MoTB) angekündigt, in dem er an jedem Tag eine Schwachstelle oder Verwundbarkeit in Zusammenhang mit der Twitter-API veröffentlichen will. Die API ermöglicht unter anderem die Konfiguration, Verwaltung und Statusabfrage des eigenen Kontos mit HTTP-Requests.

Raff berichtete erst kürzlich von der Möglichkeit, die API-Abfrage des Twitter-Bilderdienstes twitpic.com zur Verbreitung von Würmern zu missbrauchen. Genaugenommen handelte es sich bei dieser und den nun gemeldeten nicht um Lücken in der Twitter-API selbst, sondern um die sorglose oder fehlerhafte Implementierung der API-Abfrage anderer Anbieter oder deren Weboberflächen. Raff hatte zudem angekündigt, dass sich alle von ihm gefundenen Schwachstellen zur Verbreitung eines Twitter-Wurms missbrauchen lassen sollen.

Siehe dazu auch:

• Gefährliche Mischung: Twitter-Auto-Feeds und 140.000 Follower
• 2,2 Millionen URLs bei URL-Verkürzerdienst manipuliert
• Juli wird der "Month of Twitter Bugs"
• Twitter-API erleichtert Wurmverbreitung

(dab)