חוקרים גילו פרצה צולבת בטוויטר, לאחר שהשתילו קוד בדפי אינטרנט של משתמשים

פרצה צולבת (XSS – ר"ת Cross Site Scripting) נתגלתה לאחרונה ברשת טוויטר, וחוקרים חוששים שהיא עלולה לאפשר לתוקפים לשתול קוד עוין בדפי האינטרנט של המשתמשים. לאנס ג'יימס ואריק וסטל מחברת Secure Science מסרו, כי מדובר בקוד להוכחת תפיסה. עם זאת, החוקרים ציינו, כי קוד זה אינו גורם לנזקים.

"הפרצה עדיין קיימת", אמר וסטל. "בקוד שכתבנו מופיע קישור שבעקבות לחיצה עליו ניתן להשתלט על חשבונות". לדברי ג'יימס, "רבים סבורים בטעות כי פרצות XSS מאפשרות לפגוע בדפי אינטרנט בלבד, ומשום כך לא מתייחסים אליהן ברצינות מספקת". הוא הוסיף, כי הפרצה הקוד המושתל בטוויטר עלול לפגוע גם במחשבים מקומיים של קורבנות תמימים.

רבים ממשתמשי טוויטר נעזרים ביישומים מצד שלישי שאינם עוברים בדיקות מחמירות וקפדניות כמו דפדפני אינטרנט, למשל. בשירות סבלו בחודשים האחרונים משורה של תקריות, ואך לפני כשבועיים נפרצו כ-750 חשבונות, ששימשו, בעקבות הפריצה, למשלוח של דואר זבל. בחודש ינואר נפרצו 33 חשבונות טוויטר של סלבריטיז, והחברה הודיעה, כי תבדוק מחדש את כל נהלי האבטחה. עד כה לא פורסמו תוצאות הבדיקה, אם נערכה.

על פי החוקרים, הפופולריות הגוברת של טוויטר מחריפה את המתקפות ומעצימה את הבעיות שנובעות מהתכנון הבסיסי של השירות, דוגמת האפשרות להפנות לכתובות URL והצגת קישורים באופן שגורם להם להיראות בטוחים, לא תמיד בצדק. לדברי וסטל, "המבנה של טוויטר הופך אותו לשירות אידיאלי להפצה ויראלית". הוא הוסיף, כי כמו ברשתות חברתיות אחרות, עשויים המשתמשים לחוש תחושה כוזבת של ביטחון משום שהתקשורת מוגבלת לכאורה לחברים בלבד.

לא ניתן היה לקבל את תגובתה של טוויטר.