Twitter está siendo afectado por otra vulnerabilidad que, aunque no es claro como ha iniciado, está afectando a un gran número de personas en este momento. Consiste en el envío de dos tweets, uno de los cuales empieza con WTF y envía a un enlace con la famosa imagen de goatse.
El hack consiste en la publicación de dos mensajes, uno con un enlace que empieza con un WTF como la captura de pantalla que incluyo justo arriba de estas líneas. Justo después se publica otro mensaje como este:
De acuerdo al blog de estátus de Twitter, el problema viene de un enlace con código malicioso que genera el envío de los dos tweets en cuestión. También explican que el enlace ha sido deshabilitado y la vulnerabilidad ya ha sido arreglada:
A malicious link is making the rounds that will post a tweet to your account when clicked on. Twitter has disabled the link, and is currently resolving the issue.
Captura de pantalla del código fuente del Javascript que causa la vulnerabilidad y la publicación de los dos tweets antes mencionados (vía @stephenou:
Es impresionante, pero el problema no puede ser calificado, ni siquiera, como una vulnerabilidad o un problema de seguridad de Twitter, es más cercano al hack social:
- Una persona publica un tweet con un texto provocador, (WTF y el enlace).
- El enlace tiene un simple código Javascript (ver la captura de pantalla en el cual vienen acciones para que, a su vez, se publiquen 2 tweets, uno de los cuales también tiene el enlace con el Javascript malicioso.
- Personas con cierta reputación en Twitter hacen click en el enlace, y en el proceso hacen que se publique en sus propias cuentas el enlace.
- Viralización inmediata. En millones de cuentas se publica el enlace, sin querer. Sumado a que Twitter el tiempo real es fundamental, esto sucede en cuestión de 5 minutos.
Esto ejemplifica el problema inherente de los enlaces cortos, y la única forma de solucionarlo es que Twitter decida no contar los enlaces como parte de los 140 caracteres de límite por _tweet_, de tal forma que podamos ver la dirección completa sin necesidad de recurrir a acortadores que "ocultan" el URL original.