Die Twitter-Timelines werden derzeit vom Wurm dominiert.

Screenshot: Redaktion

Eine zweite Wurm-Variante versucht es mit großen Buchstaben.

Screenshot: Redaktion

Wer die Microblogging-Plattform Twitter am Dienstag Nachmittag aufsuchte, der konnte dabei eine recht unerfreuliche Erfahrung machen: Nach dem Bekanntwerden einer Sicherheitslücke in dem Service dauerte es nur wenige Stunden bis die ersten Würmer über die zugehörige Webseite fegten.

Gelöst

So reichte es zuletzt alleine schon aus, die Seite anzusurfen, um einen der Schädlinge weiterzuverbreiten. Mittlerweile hat man das Problem allerdings behoben, wie Del Harvey, Sicherheitschefin bei Twitter, - passenderweise in einem Tweet - bekanntgegeben hat. 

Blog

Einige Stunden später wurde dann auch noch ein Blog-Eintrag veröffentlicht, der Hintergründe zu der konkreten Attacke verrät. Darin zeigt man sich auch davon überzeugt, dass bei dem Vorfall keinerlei sensible Daten in fremde Hände gelangt seien, insofern sei es auch nicht nötig das eigene Passwort zu ändern.

Im folgenden der mehrfach aktualisierte Originalartikel, der die Chronologie der Ereignisse wiedergibt:

Auslöser

Wer auf der Webseite von Twitter in der eigenen Timeline schwarze Balken sieht, sollte tunlichst darauf achten, nicht den Mauszeiger über diese zu bewegen. Ein solches "Mouseover" führt nämlich dazu, das die entsprechende Nachricht automatisch weiterverbreitet wird. Mittlerweile kursiert auch eine zweite Variante, bei der riesige Buchstaben in die Timeline eingefügt werden, hier passiert die Weiterverbreitung offenbar dadurch, dass die NutzerInnen unabsichtlich auf den transparenten Teil einer Grafik klicken.

Ausnahmen

UserInnen, die bereits das neue Twitter-Interface haben, scheinen von dem Problem nicht betroffen zu sein, hier wird stattdessen der zugehörige Code angezeigt. Für alle anderen empfiehlt sich derzeit die Webseite von Twitter.com zu meiden, externe Clients sind von dem Problem nicht betroffen.

Update, 14:40:

Laut dem Sicherheitsexperten Georg Wicherski nutzt der Wurm ein Cross-Site-Scripting-Lücke (XSS) auf der Webpage von Twitter, was auch erklärt, warum der Hack mit dem neuen Twitter-Interface nicht funktioniert. Die Lücke war erst vor wenigen Stunden aufgetaucht und recht flott in einen funktionstüchtigen Wurm verwandelt worden. Dem Schädling ist es dabei möglich auch das von der Seite genutzte Cookie auszulesen sowie externen Javascript-Code nachzuladen. 

Austricksen

Neben dem Meiden von Twitter lässt sich der Wurm auch austricksen, indem im Browser Javascript deaktiviert wird. Dies kann mit Erweiterungen wie NoScript für Firefox auch selektiv für einzelne Seiten vorgenommen werden. Eine Reaktion von Seiten des Microblogging-Services gibt es derzeit noch nicht, allerdings hat man als erste Reaktion bereits die öffentliche Timeline auf Twitter.com abgedreht.

Update 2, 14:55:

Mittlerweile ist eine neue Varianten aufgetaucht, die offenbar die vorherigen kombiniert und sich alleine beim Ansurfen der Seite weiterverbreitet. In einigen Fällen werden die NutzerInnen auch ohne ihr Zutun auf andere Seiten weitergeleitet. Der Rat Twitter.com derzeit (mit den oben beschriebenen Ausnahmen) zu meiden, muss also noch mal mit Nachdruck betont werden.

Update 3, 15:40:

Twitter hat mittlerweile eine neue Status-Nachricht veröffentlicht, laut der man den verursachenden Fehler aufgespürt hat und an der Behebung des Problems arbeitet.

Update 4, 15:50:

Mittlerweile ist es Twitter offenbar gelungen das auslösende Problem zu beseitigen. Entsprechend manipulierte Tweets werden nun auch auf der Twitter.com-Seite wieder als reiner Text angezeigt, die Weiterverbreitung ist damit gestoppt.

(apo, derStandard.at, 21.09.10)

Der WebStandard auf Facebook