Una vulnerabilità Javascript manda ko TweetDeck

Nella serata di ieri migliaia di utenti Twitter che utilizzano il client web based TweetDeck si sono ritrovati improvvisamente offline per oltre un’ora. Twitter aveva infatti staccato momentaneamente la spina a TweetDeck dopo aver scoperto una grave falla di sicurezza. La piattaforma web based del client Twitter risultava infatti vulnerabile agli attacchi Cross-site-scripting, anche conosciuti come XSS.

A security issue that affected TweetDeck this morning has been fixed. Please log out of TweetDeck and log back in to fully apply the fix.

— TweetDeck (@TweetDeck) June 11, 2014

In estrema sintesi, malintenzionati avrebbero potuto inserire del codice malevolo all’interno di un url causando non pochi problemi di sicurezza per gli utenti. Nello specifico, il problema di TweetDeck avrebbe potuto esporre gli utenti al così detto hijack, cioè al furto dei dati d’accesso personali con il fine di rubare le identità virtuali sul social network. La falla di sicurezza è stata fortunatamente individuata prontamente dal team di TweetDeck che ha rapidamente rilasciato un fix che ha portato successivamente alla ripresa del servizio. Tuttavia per gli utenti TweetDeck il suggerimento, per rendere davvero effettivo il fix, è quello di revocare l’accesso alla piattaforma e poi ripristinare l’account.

We've temporarily taken TweetDeck services down to assess today's earlier security issue. We'll update when services are back up.

— TweetDeck (@TweetDeck) June 11, 2014

Il problema di sicurezza non sembra aver riguardato altre piattaforma che utilizzano le API di Twitter, dunque la vulnerabilità sembra aver colpito solo TweetDeck. Sebbene comunque un fix al problema sia stato posto velocemente, questo non significa che non si debba ancora lavorare molto dal punto di vista della sicurezza. La vulnerabilità di TweetDeck ha infatti dimostrato come gli utenti possano essere esposti ancora troppo facilmente a gravi rischi come il furto della propria identità digitale.