**Twitter** está siendo afectado por otra vulnerabilidad que, aunque no es claro como ha iniciado, está afectando a un gran número de personas en este momento. Consiste en el envío de dos tweets, uno de los cuales empieza con *WTF* y envía a un enlace con la famosa imagen de goatse.

El *hack* consiste en la publicación de dos mensajes, uno con un enlace que empieza con un *WTF* como la captura de pantalla que incluyo justo arriba de estas líneas. Justo después se publica otro mensaje como este:

De acuerdo al [blog de estátus de **Twitter**](http://status.twitter.com/post/1192873885/malicious-links-on-twitter), el problema viene de un enlace con código malicioso que genera el envío de los dos *tweets* en cuestión. También explican que **el enlace ha sido deshabilitado y la vulnerabilidad ya ha sido arreglada**:

> A malicious link is making the rounds that will post a tweet to your account when clicked on. Twitter has disabled the link, and is currently resolving the issue.

Captura de pantalla del código fuente del *Javascript* que causa la vulnerabilidad y la publicación de los dos *tweets* antes mencionados (vía [@stephenou](http://twitter.com/stephenou/status/25612656372)):

Es impresionante, pero el problema no puede ser calificado, ni siquiera, como una vulnerabilidad o un problema de seguridad de Twitter, es más cercano al *hack social*:

1. Una persona publica un tweet con un texto provocador, (*WTF y el enlace*).
2. El enlace tiene un simple código *Javascript* (ver la [captura de pantalla](http://alt1040.com/2010/09/otra-vulnerabilidad-afecta-a-twitter/content)) en el cual vienen acciones para que, a su vez, se publiquen 2 tweets, uno de los cuales también tiene el enlace con el *Javascript* malicioso.
3. Personas con cierta reputación en **Twitter** hacen click en el enlace, y en el proceso hacen que se publique en sus propias cuentas el enlace.
4. *Viralización inmediata*. En millones de cuentas se publica el enlace, sin querer. Sumado a que Twitter el tiempo real es fundamental, esto sucede en cuestión de 5 minutos.

Esto ejemplifica el problema inherente de los enlaces cortos, y la única forma de solucionarlo es que Twitter decida **no contar los enlaces como parte de los 140 caracteres de límite por _tweet_**, de tal forma que podamos ver la dirección completa sin necesidad de recurrir a acortadores que "ocultan" el *URL* original.

Participa en la conversación

33 Comentarios

Deja tu comentario

  1. a mi me parece ingenioso :-)

    damo, no se si la borraron y la volvieron aponer como parce tu caso, epro a mi me ha pasado ya unas cauntas veces ver el post en mi reader y al ir a etrar … ¡oh sorpresa!!! no esta! o mejor ahun, entrar, verla online, y voler a la media hora y puuuuf desapeareció.

  2. Me extraña que digan que no es una vulnerabilidad o un problema de seguridad. Sí es un problema de seguridad porque Twitter no debería permitir actualizar el estatus con un simple javascript desde otra página Web de una forma tan sencilla.

    Ahora, tampoco es una catástrofe ni nada que se la parezca, tan simple como borrar los mensajes y se acabó, nada del otro mundo. Lo tomo más como una broma más que un «fallo serio»

    De todas maneras se agradece la info, ya que muchas personas pueden caer en la broma.

  3. Me extraña que consideren «drama» a una noticia actualizada al momento y por lo mismo sin saber qué clase de vulnerabilidad puede ser, aumentando su importancia. Para algunos Twitter es mera diversión, para otros una herramienta de trabajo muy importante. Gracias por los datos, Ed.

  4. Sí, y alguien borró el «cambien su contraseña» sin decir nada… Si te equivocas, lo dices, no pasa nada.

    Y lo de «Personas con cierta reputación en Twitter » = @earcos XD, en fin

  5. Los de alt1040 me llenaron la timeline escribiendo cosas como «NO ABRAN un tweet que empiece con wtf» o «Cuidado con los tweets que empiezen con WTF!»

    Demasiado drama solo por una vulnerabilidad que duro solo unos minutos y personalmente no se si es un troyano o un worm o simplemente codigo malicioso que realiza x accion.

    Por otro lado, esta bien que mantengan a uno informado.

  6. Nombre, no hay porque asustarse, ni el mundo y ni las cabras se acabaran

    solo se trata de un script que abusa de lo inocente de los twiteros que lanza dos tweets automaticamente al darle click a un link…

  7. De hecho… no tiene nada que ver con los servicios autorizados ni con fallo en twitter.

    Es un js con mucho ingenio, que aprovecha pastehtml.com (que muestra algo que hayas «pasteado» mostrándotelo «tal cual») y que tengas la sesión abierta en twitter:

    el1.src = «http://twitter.com/share/update?status=WTF:%20» + window.location; el2.src = «http://twitter.com/share/update?status=i%20love%20anal%20sex

    Simple como el mecanismo de un chupete. El script se ejecuta y tú compartes sin darte cuenta.

    No, no es fallo de twitter.

    1. Doy fe, lo he visto a la misma vez que tu eduardo, están siendo eliminados todos aquellos con la dirección, han actuado rápido, pero a ver como acaba esto…