La vulnerabilità permetteva di prendere indebitamente possesso degli account di altri utenti.
Twitter ha dichiarato di aver sanato la falla di sicurezza che avrebbe potuto essere sfruttata, da parte di malintenzionati, per prendere indebitamente possesso degli account di altri utenti, iscritti al “social network” e servizio di “micro-blogging”.
Il primo a sollevare il problema è stato Mike Bailey, analista presso Foreground Security. Secondo Bailey la lacuna risiedeva nell’implementazione di oggetti Flash nelle pagine di Twitter. “Si trattava di un problema piuttosto grave e sono contento che sia stato risolto“, ha aggiunto.
Gli sviluppatori di Twitter, dal canto loro, hanno spiegato: “ci è stata segnalata una vulnerabilità presente all’interno del nostro widget in Flash e, per maggior cautela, abbiamo disattivato la possibilità di accedere a questo componente sintanto che non avremo sistemato il problema. Vogliamo comunque sottolineare come i widget JavaScript non siano affetti dalla medesima vulnerabilità e rappresentino quindi una buona alternativa per coloro che sinora hanno impiegato la versione in Flash“.
Bailey si è accorto della falla realizzando come il widget in Flash sviluppato da Twitter permettesse di fatto l’inserimento di riferimenti a qualunque contenuto disponibile in Rete. Facile per un aggressore inserire rimandi a codice in grado di permettere l’interazione con gli account altrui attivati su Twitter.
Il ricercatore di Foreground Security ha voluto liberare il campo da eventuali polemiche nei confronti di Adobe, azienda che non ha alcuna responsabilità in queste circostanze. Situazioni simili si vengono a creare solamente in forza di errori di programmazione commessi da coloro che realizzano oggetti in Flash.