Zgodilo se je. Tweetdeck – Twitter aplikacija, je začela sama od sebe retvitati tvite, ki vsebujejo čudno kodo:
script class=”xss”>$(‘.xss’).parents().eq(1).find(‘a’).eq(1).click();$(‘[data-action=retweet]’).click();alert(‘XSS in Tweetdeck’)
Sicer so pri Tweetdecku takoj reagirali, vendar je bilo že prepozno, saj se je spirala že začela vrteti:
We've temporarily taken TweetDeck services down to assess today's earlier security issue. We'll update when services are back up.
— TweetDeck (@TweetDeck) June 11, 2014
Ja, če BBCBreaking pošlje tvit svojim 10 milijonom sledilcev in precej od njih jih uporablja tudi Tweetdeck, ki sam retvita to kodo, potem se je zgodilo nekaj, kar se sicer ne bi smelo. Tweetdeck je začasno onemogočil njihovo aplikacijo. Mene pa zanima, kdo stoji za tem in kakšno je dejansko ozadje?!
Congratulations @BBCBreaking for not logging out, and sending a self-retweeting hack to 10.1m people (h/t @dracos): pic.twitter.com/S6haCHkfn8
— Tom Scott (@tomscott) June 11, 2014
Tweetdeck XSS flaw leaves users vulnerable to account hijacking
You Should Log Out of TweetDeck Right Now (Update: Still Bad)
TweetDeck Has Been Hacked — And This Tweet Is Getting Retweeted Over And Over Again