Een cross-site scripting (XSS) lek in Twitter maakte het kinderspel voor aanvallers om andermans account over te nemen. Alleen het sturen van een tweet volstond om toegang tot het account te krijgen, zo ontdekte beveiligingsonderzoeker James Slater. Hij meldde het probleem eerder deze week bij Twitter, maar die zouden het lek in eerste instantie niet begrepen hebben. "Het lijkt erop dat ze een behoorlijk amateuristische poging hebben gedaan om het probleem op te lossen, waarbij ze het gigantische probleem dat ze in het gezicht staart helemaal missen", aldus Slater.

"Twitter heeft één van de meest basale fouten in het programmeren van webapplicaties gemaakt, vertrouw nooit blindelings data die van buiten afkomstig is." De microbloggingdienst verifieerde onvoldoende de input van gebruikers bij het venster voor het toevoegen van third-party clients. Daardoor konden aanvallers JavaScript tags en HTML code aan Tweets toevoegen. "Alleen het zien van zo'n tweet zorgt ervoor dat code binnen je browser draait en jou nadoet en alles kan doen wat je browser doet." Zo is het mogelijk om gebruikers naar andere websites door te sturen, tweets te delen, berichten naar volgers te sturen, volgers te verwijderen of het gehele account in kwestie over te nemen.

Inmiddels heeft Twitter het probleem wel verholpen, zonder dit aan de onderzoeker te melden. Ook zijn de accounts die Slater als demonstratie gebruikte door Twitter geschorst. Een video van het beveiligingsprobleem is nog wel op zijn weblog te vinden, inclusief aanvullende details over het lek.