Vào sáng ngày 21 tháng 9 vừa qua, một lỗ hổng bảo mật sử dụng kĩ thuật XSS (cross-site scripting) đã bị khai thác và gây ảnh hưởng đến hàng nghìn tài khoản Twitter, chuyển hướng người dùng đến các trang web xấu mà không cần sự đồng ý của họ.

Lỗ hổng này khá nguy hiểm vì người dùng chỉ cần rê chuột lên liên kết trong tweet là ngay lập tức có thể bị chuyển đến các trang web xấu. Lỗ hổng này được khai thác bằng cách chèn vào một đoạn mã JavaScript vào trong sự kiện onMouseOver - sự kiện xảy ra khi người dùng rê chuột vào một đoạn văn bản. Hacker có thể khai thác lỗ hổng để mở ra một pop-up đơn giản, chuyển hướng người dùng đến một trang web xấu và thậm chí tự động gửi một tweet để tiếp tục lây lan chính nó đến những người dùng khác.

Twitter cho biết họ đã nhận được thông báo về lỗ hổng bảo mật này vào lúc 2 giờ 54 phút sáng theo giờ Mĩ và về cơ bản lỗ hổng được khắc phục vào lúc 7 giờ sáng. Đến 9 giờ sáng cùng ngày thì lỗ hổng đã được khắc phục hoàn toàn.

Theo nguồn tin từ blog chính thức của Twitter thì lỗ hổng trên chỉ ảnh hưởng đến những người dùng sử dụng giao diện web Twitter.com và không ảnh hưởng đến những người dùng trên di động cũng như các ứng dụng bên thứ 3 tương tác với Twitter. Twitter cũng cho hay lỗ hổng này đã bị phát hiện vào tháng trước và đã được vá. Tuy nhiên, một cập nhật gần đây cho trang web Twitter.com đã khiến lỗ hổng này phát sinh trở lại.

Twitter đưa ra thông báo rằng lỗ hổng này không hề ảnh hưởng đến thông tin tài khoản của người dùng nên việc thay đổi mật khẩu là không cần thiết.

Mặc dù lỗ hổng này không gây ra ảnh hưởng gì nghiêm trọng ngoài sự bực mình cho người dùng nhưng nó là lời cảnh tỉnh về tốc độ lây lan nhanh chóng của các lỗ hổng bảo mật phát sinh trên các website lớn.

Tổng hợp nhiều nguồn