Twitter-veiligheidsissue blootgelegd: Twitter doet niks

Iedereen heeft de mond vol van Twitter. De service heeft de afgelopen maanden een enorme boost meegemaakt. Zo’n enorme groei zorgt meteen ook voor groeipijnen. Nadat Twitter enkele weken geleden de aanvallen gericht op een Georgische blogger niet aankon is er nu opnieuw een flink security-hole in Twitter blootgelegd.

Dave Naylor, een Engelse SEO (die geregeld bijdragen levert aan Searchcowboys) liet op zijn weblog in de afgelopen dagen zien hoe eenvoudig het is Twitter accounts te hacken, over te nemen of te misbruiken. Het door Dave blootgelegde “gat” in de API wordt echter door Twitter volledig genegeerd. Om uit de handen van hackers te blijven is het aan te raden voorlopig even niet de web-client van Twitter te gebruiken…

Een week geleden werd een ‘loophole‘ in Twitter gesloten door Twitter. De links onder een Tweet (“1 minute ago from TweetDeck”) waren tot die tijd ‘followed’. Dit houdt in dat de link Google doorstuurde en er dus een extra link kon worden bijgeschreven die kon bijdragen aan je ranking. Komend van een site als Twitter is dat natuurlijk erg interessant. Let wel: de link in dit geval kwam ten goede aan Tweetdeck. Het maken van een “eigen” applicatie is echter heel eenvoudig, via de Twitter API, waarmee je zelfs rechtstreeks kan Twitteren.

En die API zorgt er nou precies voor dat Twitter momenteel erg kwetsbaar is voor hackers. Dave Naylor en zijn team zaten naar aanleiding van het sluiten van de boven genoemde ‘loophole’ te spelen met de API en kwamen tot een schokkende conclusie: via de API is het heel eenvoudig binnen slechts enkele stappen een tweet te versturen, niet alleen met een ‘follow’-link, maar ook met html of javascript, en daarmee de login-cookie van de ontvanger te achterhalen. En met die login-cookie is het zeer eenvoudig inloggen in andermans Twitter-account.

Dave legt op zijn blog in een tweede post haarfijn uit hoe het werkt. In bijgaande video laat hij zien wat er kan gebeuren.
Een opening als deze zal op hackers werken als honing op een bij en het is opvallend dat sinds het moment dat Dave zijn post plaatste Twitter in het geheel niet gereageerd heeft. Een dag later stond alles er nog precies hetzelfde voor. Weet Twitter niet hoe ze moeten oplossen misschien?

Ondertussen is het verstandig om voorzichtig te zijn. Volg geen mensen die je niet direct kent en blijf even weg van de webpagina van Twitter, via tools als Tweetdeck ben je iets veiliger. Dave geeft in zijn post aan:

• If you’re not logged in to Twitter, there’s no opportunity to steal your details or impersonate you, however malicious code could still send you to other websites or otherwise annoy you, so it doesn’t completely fix the problem.
• Unfollow anyone you don’t know or don’t trust that could be exploiting this. Who’s to say they’re not already stealing your details? If you don’t see their tweets they can’t harm you.
• If you use something other than the Twitter website to view your tweets, perhaps one of the applications mentioned below, you should be fairly safe, though without looking at each one individually it’s hard to be sure. Still, you’re likely to be pretty safe this way.

Meer hierover op Searchcowboys. Vanavond om zeven uur zal Dave ook een toelichting geven op zijn bevindingen bij ons in de Searchcowboys podcast op webmasterradio.fm.