Una vulnerabilidad de secuencias de comandos en sitios cruzados (cross-site scripting o simplemente XSS) es una vulnerabilidad en una web que permite introducir un script por parte de usuarios no autorizados.
En el caso que la red social de los 144 caracteres soluciono ayer suponía que cualquiera podía introducir un script en un tuit que, aprovechándose de la vulnerabilidad de Tweetdeck, se ejecutara al verlo en esa web que pertenece al propio Twitter.
Una vez fue descubierto el problema, la mayoría de los mensajes nos alertaban de la situación, pero aún hoy se pueden encontrar muchos intentos de aprovecharse de la vulnerabilidad aunque Twitter ha parcheado el bug.
La controversia ha surgido si el crear un gusano que lo único que hace es avisarnos de una vulnerabilidad se puede considerar malware o una actividad maliciosa.
La CFAA (Computer Fraud and Abuse Act de EE.UU.) define que es un crimen acceder sin autorización o exceder la autorización de acceso a una red o un ordenador. Se trata de una definición muy amplia, pero es fácil de resumir: no permiso, no acceso.
Las empresas de seguridad informática consideran que algo es malicioso si usa recursos en un ordenador sin el permiso de sus dueños o para propósitos que no se han otorgado.
Hacía tiempo que no veíamos un gusano en Twitter y esperamos que tardemos en ver otro.
Twitter afirma que ha solucionado el problema. Podemos tuitear sin problemas desde el puente (deck es puente de mando en inglés).
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario