20140612 TweetdeckにXSS攻撃されたがすぐ解決されたのか?(@Churuyasan のTLまとめ)
- Churuyasan
- 1915
- 0
- 0
- 0
6/12 01:31 JST
A security issue that affected TweetDeck this morning has been fixed. Please log out of TweetDeck and log back in to fully apply the fix.
2014-06-12 01:31:23<script class="xss">$('.xss').parents().eq(1).find('a').eq(1).click();$('[data-action=retweet]').click();alert('XSS in Tweetdeck')</script>♥
2014-06-12 01:36:29(私のタイムラインで、この時刻にリツイートされていた。ツイートの意味は後述のITProの記事。)
We've temporarily taken TweetDeck services down to assess today's earlier security issue. We'll update when services are back up.
2014-06-12 01:59:35Uh-oh, @Tweetdeck's been hacked! @eweise has the deets: usat.ly/1pHzbg4 pic.twitter.com/XSYloycYqm
2014-06-12 02:13:18ツイッターの検索で最上位のツイート
6/12 2:55 JST
We've verified our security fix and have turned TweetDeck services back on for all users. Sorry for any inconvenience.
2014-06-12 02:55:596/12 4:00 JST
(先程、私が使っている #Tweetdeck が勝手に「知らない人のツイートをリツイート」しました。 そのツイートの内容は「XSS in Tweetdeck」という言葉を表示するプログラムの様なものでした。私のツイートを表示した人は、アプリの連携とDMのログを確認して下さい。)
2014-06-12 04:05:29- (Tweetdeckにログインして最小化していた)Webブラウザを開いたところ、画面に青いポップアップが表示されていた「XSS in Tweetdeck」
- 他のクライアントアプリで更新通知があったため、意図しないリツイートをしたことに気づいた。
´-ω-`)。o 先程の件。まだ日本のニュースサイトの記事になっていないようだ。 |TweetDeck Hacked? Site Affected By 'Security Issue' - ABC News abcn.ws/1l9vHgZ
2014-06-12 04:18:20TweetDeckにXSSの脆弱性、ワーム増殖の状態に - ITmedia ニュース
2014年06月12日 07時41分
ツイッターがTweetDeck一時停止、ハッカー攻撃で - WSJ
2014 年 6 月 12 日 11:56 JST
ミニブログサイト運営の米ツイッターは11日、「TweetDeck(ツイートデック)」アプリケーションのセキュリティー上の脆弱性を修正し、ハッカー攻撃を受けて約1時間にわたり停止していたサービスを再開したと明らかにした。
この問題は、ツイートデックにログインしているユーザーにランダムなポップアップメッセージが表示され、ランダムなコードを気付かずにリツイートしてしまうというもの。ツイートデックの公式アカウントでは、このセキュリティー上の問題は解決済みだとし、修正を反映するためにいったんログアウトするようユーザーに呼び掛けた。だがその後も問題は続いていたようだ。ツイートデックのアカウントは補足のツイートで、ツイッターが一時的に同サービスを停止したと伝えた。
日本のニュースサイトでは「XSSが、一般メディアで報道されたが、すぐに対処された」という記事ばかりだった。
実際は、「復旧宣言」の後の時刻に、件のハートマークのツイートがなされている(ITProの記事の後半にきちんと説明があった)。
米Twitterの公式クライアントアプリケーション「TweetDeck」は現地時間2014年6月11日、セキュリティのバグ修正を完了し、全ユーザーに対するサービスが復旧したと、公式アカウントを通じて発表した。複数の米メディア(Wall Street Journal、WIREDなど)の報道によると、TweetDeckは同日朝から、クロスサイトスクリプティング(XSS)攻撃を受けていた。
今回の攻撃は、19歳のオーストリア人青年が原因だと伝えられている。この青年はHTMLで「♥(ハートマーク)」を表示する実験を行う中で偶然、当脆弱性を発見し、それをTwitterに報告した。しかしTwitterが脆弱性を修正する前に、自身の発見をオンラインで公表しため、別の何者かが悪用してしまったという(USATODAYの報道)。