20140612 TweetdeckにXSS攻撃されたがすぐ解決されたのか?(@Churuyasan のTLまとめ)

タイムライン上のツイートとニュースサイトの記事引用  6月11日深夜、@twitter から@TweetDeck のリツイートとして、アプリの脆弱性を解決したことと再ログインするよう報告があった(1:31 JST)。その直後、ユーザーがスクリプトの様な不審なツイートをリツイートした。  私に起こったこと: 画面に青いポップアップが表示されていた「XSS in Tweetdeck」(4:00 JST)。 他のクライアントアプリで更新通知があったため、意図しないリツイートをしたことに気づいた。 (ツイッターが運営しているサービスだが、ログイン画面が、ID/パスワードを入力させるもので認証を使っていない。再ログインには躊躇している)
2

6/12 01:31 JST

Pro @Pro

A security issue that affected TweetDeck this morning has been fixed. Please log out of TweetDeck and log back in to fully apply the fix.

2014-06-12 01:31:23
*andy🚀 @derGeruhn

<script class="xss">$('.xss').parents().eq(1).find('a').eq(1).click();$('[data-action=retweet]').click();alert('XSS in Tweetdeck')</script>♥

2014-06-12 01:36:29

(私のタイムラインで、この時刻にリツイートされていた。ツイートの意味は後述のITProの記事。)

Pro @Pro

We've temporarily taken TweetDeck services down to assess today's earlier security issue. We'll update when services are back up.

2014-06-12 01:59:35
Desair (Brown) Shaw @desairbrown

Uh-oh, @Tweetdeck's been hacked! @eweise has the deets: usat.ly/1pHzbg4 pic.twitter.com/XSYloycYqm

2014-06-12 02:13:18
拡大

ツイッターの検索で最上位のツイート

6/12 2:55 JST

Pro @Pro

We've verified our security fix and have turned TweetDeck services back on for all users. Sorry for any inconvenience.

2014-06-12 02:55:59

6/12 4:00 JST

ちゅるやさん @Churuyasan

(先程、私が使っている #Tweetdeck が勝手に「知らない人のツイートをリツイート」しました。 そのツイートの内容は「XSS in Tweetdeck」という言葉を表示するプログラムの様なものでした。私のツイートを表示した人は、アプリの連携とDMのログを確認して下さい。)

2014-06-12 04:05:29
  • (Tweetdeckにログインして最小化していた)Webブラウザを開いたところ、画面に青いポップアップが表示されていた「XSS in Tweetdeck」
  • 他のクライアントアプリで更新通知があったため、意図しないリツイートをしたことに気づいた。
ちゅるやさん @Churuyasan

´-ω-`)。o 先程の件。まだ日本のニュースサイトの記事になっていないようだ。 |TweetDeck Hacked? Site Affected By 'Security Issue' - ABC News abcn.ws/1l9vHgZ

2014-06-12 04:18:20
リンク ABC News TweetDeck Affected By 'Security Issue' TweetDeck temporarily shut down today after a "security issue" prompted strange pop-up messages and unintended retweets from users' Twitter accounts.
リンク ITmedia ニュース TweetDeckにXSSの脆弱性、ワーム増殖の状態に TwitterのTweetDeckサービスが一時的にダウンした。「悪意のあるツイートを作成して自己増殖する『ワーム』攻撃」の発生が伝えられている。

TweetDeckにXSSの脆弱性、ワーム増殖の状態に - ITmedia ニュース

2014年06月12日 07時41分

リンク jp.wsj.com ツイッターがTweetDeck一時停止、ハッカー攻撃で ミニブログサイト運営の米ツイッターは11日、「TweetDeck(ツイートデック)」アプリケーションのセキュリティー上の脆弱性を修正し、ハッカー攻撃を受けて約1時間にわたり停止していたサービスを再開したと明らかにした。

ツイッターがTweetDeck一時停止、ハッカー攻撃で - WSJ

2014 年 6 月 12 日 11:56 JST

ミニブログサイト運営の米ツイッターは11日、「TweetDeck(ツイートデック)」アプリケーションのセキュリティー上の脆弱性を修正し、ハッカー攻撃を受けて約1時間にわたり停止していたサービスを再開したと明らかにした。
 この問題は、ツイートデックにログインしているユーザーにランダムなポップアップメッセージが表示され、ランダムなコードを気付かずにリツイートしてしまうというもの。ツイートデックの公式アカウントでは、このセキュリティー上の問題は解決済みだとし、修正を反映するためにいったんログアウトするようユーザーに呼び掛けた。だがその後も問題は続いていたようだ。ツイートデックのアカウントは補足のツイートで、ツイッターが一時的に同サービスを停止したと伝えた。

日本のニュースサイトでは「XSSが、一般メディアで報道されたが、すぐに対処された」という記事ばかりだった。
実際は、「復旧宣言」の後の時刻に、件のハートマークのツイートがなされている(ITProの記事の後半にきちんと説明があった)。

リンク TechCrunch TweetDeck、ハックされたが脆弱性はすでに修正―ユーザーは一度ログアウトすること | TechCrunch Japan アップデート:Tweetdeck は今朝(米国時間6/11)、ハッカーの攻撃に対処してセキュリティー上の修正を行うため一時サービスを停止したが、現在は復帰している。当初の記事:パワーユーザーに人気があるTwitterの公式クライアント、TweetDeckが今朝ハッカーに攻撃を受けたXSS(クロスサイトスクリプティング)脆弱性を修正したと発表した。Tweetdeckはこのパッチを有効にするため...
リンク ITpro TweetDeckにXSS攻撃、すでに脆弱性を修正済み 米Twitterの公式クライアントアプリケーション「TweetDeck」は現地時間2014年6月11日、セキュリティのバグ修正を完了し、全ユーザーに対するサービスが復旧したと、公式アカウントを通じて発表した。複数の米メディアの報道によると、TweetDeckは同日朝から、クロスサイトスクリプティング(XSS)攻撃を受けていた。

 米Twitterの公式クライアントアプリケーション「TweetDeck」は現地時間2014年6月11日、セキュリティのバグ修正を完了し、全ユーザーに対するサービスが復旧したと、公式アカウントを通じて発表した。複数の米メディア(Wall Street Journal、WIREDなど)の報道によると、TweetDeckは同日朝から、クロスサイトスクリプティング(XSS)攻撃を受けていた。

 今回の攻撃は、19歳のオーストリア人青年が原因だと伝えられている。この青年はHTMLで「♥(ハートマーク)」を表示する実験を行う中で偶然、当脆弱性を発見し、それをTwitterに報告した。しかしTwitterが脆弱性を修正する前に、自身の発見をオンラインで公表しため、別の何者かが悪用してしまったという(USATODAYの報道)。

1 次へ

いま話題のタグ

新型コロナウイルス9159 怖い話460 水曜日のダウンタウン126 アーマード・コア122 メイク404 軍事6799 動物のお医者さん44 逃げ上手の若君95 ちょこざっぷ9 婚活541 ホラー1592 赤ちゃん698 天原9 chocoZAP5 インプレゾンビ49