– Date : 14 Avril 2009

– Description :

Durant le week-end du 11 au 13 avril, plusieurs vers XSS se sont attaqués au site twitter. Ces derniers ont exploité successivement plusieurs failles XSS différentes. Ils avaient pour effet d’afficher un message permettant la propagation du ver ainsi qu’un lien pointant vers un site ne contenant aucun contenu malicieux.

À l’origine de cette attaque, un adolescent de 17 ans, Mike Money. Interviewé [1], ce dernier prétend avoir réalisé ces attaques, car il n’avait rien d’autre de plus intéressant à faire.

Twitter déclare qu’aucune information confidentielle n’a été volée[2], cependant, l’analyse du ver par le laboratoire F-SECURE [3] montre qu’il y avait bel et bien un vol de session.

À l’heure actuelle, l’équipe de Twitter prétend avoir corrigé toutes les failles XSS identifiées [4], mais il est possible qu’il en reste encore et qu’un ver refasse son apparition.

– Référence :

[1] http://netnewsdaily.com/?p=1558

[2] http://blog.twitter.com/2009/04/wily-weekend-worms.html

[3] http://www.f-secure.com/weblog/archives/00001653.html

[4] http://status.twitter.com/post/95332007/update-on-stalkdaily-com-worm

– Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=1239695455