Пользователи Tweetdeck стали жертвами XSS-атаки

Пользователи клиента Tweetdeck для Twitter оказались жертвами масштабной XSS-атаки: в их браузерах появилось сообщение «XSS in tweetdeck», после чего приложение перестало работать.

Пользователи Twitter пожаловались на появление сообщений об XSS-атаке (cross-site scripting) на клиент Tweetdeck: в их запущенных веб-приложениях для Chrome и на сайте tweetdeck.twitter.com появилось сообщение «XSS in tweetdeck». Насколько известно настольное приложение для Mac OS X оказалось не затронутым атакой, однако пользоватети клиента для Windows также сообщили о срабатывании XSS-эксплойта.

Часть пользователей сообщает, что в уведомлениях также содержался некий текст — в том числе с призывами закрыть приложение. Возможно, XSS-атака была произведена в рамках исследования безопасности Tweedeck сторонними специалистами и не носит деструктивный характер, однако уязвимостью могут воспользоваться потенциальные злоумышленники.

Официальной информации от представителей Twitter пока не поступало.

Пока источник этой атаки и её последствия неизвестны, но на всякий случай рекомендуется озаботиться минимальными мерами безопасности. Для этого нужно перейти на twitter.com и отозвать доступ к приложению Tweetdeck в настройках аккаунта (или всех привязанных к приложению аккаунтов), а также не пользоваться Tweetdeck до тех пор, пока уязвимость не будет исправлена.

Tweetdeck user? Wondering what that XSS box was about? Sign out and revoke your account's access to Tweetdeck. Now.

— The Register (@TheRegister) June 11, 2014

XSS-уязвимость позволяет злоумышленникам исполнять Javascript-код в окне браузера. Поскольку приложение Tweetdeck для Chrome является обычной веб-страницей, оно оказалось подвержено этой атаке: возможно, речь идёт об уязвимости, обнаруженной ещё в 2011 году.

Обновлено 20:35: В Tweetdeck заявили, что XSS-уязвимость была устранена, и для полного восстановления необходимо выйти из аккаунта Tweetdeck, а затем войти снова.

A security issue that affected TweetDeck this morning has been fixed. Please log out of TweetDeck and log back in to fully apply the fix.

— TweetDeck (@TweetDeck) June 11, 2014

Обновлено 21:05: По всей видимости, уязвимость не была исправлена до конца. Появились твиты с десятками тысяч ретвитов (как, например, этот), которые продолжали использовать дыру в безопасности Tweetdeck.

Представители Tweetdeck заявили, что временно остановят работу всех своих сервисов до тех пор, пока ошибка в безопасности не будет исправлена.

We've temporarily taken TweetDeck services down to assess today's earlier security issue. We'll update when services are back up.

— TweetDeck (@TweetDeck) June 11, 2014

Обновлено 22:00: Все сервисы Tweetdeck снова работают.

We've verified our security fix and have turned TweetDeck services back on for all users. Sorry for any inconvenience.

— TweetDeck (@TweetDeck) June 11, 2014