image

Maand van Twitter bugs begint met 4 lekken

donderdag 2 juli 2009, 12:10 door Redactie, 5 reacties

Wie door bit.ly verkorte links opent, loopt een serieus risico. Dat is de conclusie na de eerste dag van de Maand van de Twitter-lekken. Elke dag zal de Israëlische beveiligingsonderzoeker Aviv Raff een kwetsbaarheid in Twitter-gerelateerde diensten onthullen. Bit.ly is vanwege de 150 karakter limiet van Twitter erg populair voor het inkorten van links, maar de dienst is zelf zo lek als een mandje en reageert traag op beveiligingsproblemen. Het eerste lek betreft een cross-site scripting (XSS) kwetsbaarheid die op 18 mei voor het eerst gemeld werd, en een week later gepatcht was. De patch werkte niet naar behoren, waardoor het probleem gedeeltelijk nog bestond. Uiteindelijk besloot Bit.ly het probleem een paar dagen geleden helemaal op te lossen.

Het tweede XSS-lek werd op 24 juni gemeld en was een week later gepatcht. XSS-kwetsbaarheid nummer drie kwam op 21 juni aan het licht en behoorde negen dagen later tot het verleden. Het vierde lek, wederom XSS, was sinds 25 juni bekend, maar pas sinds gisteren verholpen. Hierdoor was het mogelijk om scripts op een website te injecteren. "Bit.ly had anderhalve maand nodig om eenvoudige XSS-lekken te patchen", zegt Raff, die de site een zware onvoldoende geeft.

"Bit.ly heeft een grote groep gebruikers, wie klikt er niet op bit.ly links? Met zo'n slechte respons op beveiligingslekken en met zo'n slecht geprogrammeerde website, kunnen we alleen op het beste hopen. Wees alsjeblieft voorzichtig met het openen van die verkorte URLs..."

Reacties (5)
02-07-2009, 12:40 door Anoniem
Het tweede XSS-lek werd op 24 juni gemeld en was een week later gepatcht. XSS-kwetsbaarheid nummer drie kwam op 21 juni aan het licht

ehh, de 2e kwam op 24-6 aan het licht en de 3e op 21-6???
02-07-2009, 15:24 door Anoniem
ls -lart , dan krijg je dat ... ;)
02-07-2009, 15:59 door Anoniem
Ik snap niet helemaal waarom dit Twitter lekken zouden zijn.... De lekken zitten toch in Bit.ly? Of is dit soms onderdeel van Twitter?

Zo niet dan is elke webpagina met een XSS lek meteen een Twitter lek?
02-07-2009, 18:34 door extranion
Vind dat de titel ook wel misleidend is,
maar je kan er niet onderuit dat bit.ly toch heel erg vaak word gebruikt samen met nog een paar andere "url shortners".

En als je twitter gebruikt is dit toch wel erg handig om te weten dat je beter niet bit.ly kan gebruiken.
06-07-2009, 22:30 door Anoniem
erg slecht, dit heeft niets te maken met een Twitter lek of met Twitter uberhaubt.
Suggestief en de redactie gebruikt de naam Twitter hiermee verkeerd.
excuses zijn op zijn plek lijkt me.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.