Twitter mit CSS-Script gehackt!
Erst war es eine schöne, bunte Farbenwelt, mit der ein Account bei Twitter darstellte, dass mit einer kleinen Manipulation einzelne Tweets von CSS gestaltet werden konnten.
Das spontane Ergebnis waren euphorische Freude und gepaart mit Unverständnis in der Netzgemeinde, doch der Schein war bekanntlich wieder trügerisch.
Ich ahnte bereits, dass dies nicht mit rechten Dingen zugehen konnte. Schließlich erkannte man bei dem regenbogenfarbigen Account, dass einzelne Tweets mit CSS-Kommandos behaftet waren. Nach fast zwei Stunden schaute ich bei Twitter nach einigen aktuellen Themen und bemerkte, dass ein “lebensgroßer” Buchstabensalat in meiner Timeline hing. Zeitgleich erfolgten automatische Postings über meinen Twitter-Account.
Als ich versuchte, die Seite zu aktualisieren und einen Hinweis auf die nicht-betroffene mobile Variante von Twitter zu geben, wurde mein Twitter-Account direkt das Opfer einer Attacke bzw. einen Hijack per CSS-Script. Prompt griff ein Bekannter von einer Münchner Agentur zum Telefon und beschwerte sich, leicht schadenfroh, bei mir, warum ich seine Timeline jetzt auch mit “Müll” zudonnern würde. Immerhin konnte ich dem Problem durch die Apps und mobile Version nach nur wenigen Minuten Herr werden. Ich rate zudem, dass jeder, der sich von diesem Wirrwarr nicht von allein befreien kann, sein Passwort bei Twitter schnellstmöglich ändert. Solange von offizieller Stelle kein Feedback folgt, sollte man davon absehen, das Webinterface von Twitter zu verwenden.
Update:
Mehr zu dem Thema steht bei Sophos und Techcrunch. Auch die dpa hat eine passende Meldung zu dem Twitter-Hack verbreitet - hier in Version bei der Süddeutschen.
Der Fehler soll scheinbar durch einen Bug bei “t.co”, einem eigenen Dienst von Twitters zur Kürzung von URLs, verursacht worden sein, über den ein Javascript-Code mit einem “onmouseover”-Kommando clientseitig ausgeführt wurde. Dabei besticht ein fadenscheiniger Geschmack, dass genau dieser “URL-Shortener” zur weiteren Sicherheit für die Twitter-Nutzer einen weiteren Beitrag leisten sollte.