Falha de segurança no TweetDeck afeta mais de 40 mil usuários em menos de cinco minutos

Uma falha de segurança no TweetDeck foi explorada no início da tarde desta quarta-feira (11). Enviando um código em JavaScript pelo Twitter, uma pessoa mal intencionada pode executar comandos em computadores de vítimas que estejam usando o TweetDeck. Um dos tweets se disseminou rapidamente e foi retweetado por quase 40 mil pessoas em menos de cinco minutos após a publicação.

O problema é conhecido como XSS, ou cross-site scripting. A técnica, que é bastante usada para explorar falhas em serviços da web, consiste em injetar em uma página códigos que serão executados pela máquina do usuário. Pode ser algo inofensivo, como o tweet acima, que exibe uma mensagem de alerta e induz o usuário a dar retweet, ou algo potencialmente perigoso, como códigos que exploram brechas de navegadores.

A falha parecia estar limitada ao TweetDeck na web, que mostrava apenas o coração do tweet acima, enquanto o código em JavaScript era executado pelo navegador do usuário. O problema não ocorreu na interface web do Twitter, o que evitou que o tweet se espalhasse ainda mais.

De acordo com o Twitter, dono do TweetDeck, a vulnerabilidade foi corrigida, mas os usuários devem sair e entrar novamente no serviço para que as alterações surtam efeito. No entanto, às 14h20, o TweetDeck estava indisponível e não permitia fazer login. O serviço só voltou ao normal por volta das 15 horas.

We’ve temporarily taken TweetDeck services down to assess today’s earlier security issue. We’ll update when services are back up.

— TweetDeck (@TweetDeck) 11 junho 2014

Receba mais notícias do Tecnoblog na sua caixa de entrada

E-mail:

* ao se inscrever você aceita a nossa política de privacidade