AVROTROS

Hoe #onMouseOver de wereld veroverde

Johan Boef

Van cabaratier Youp van 't Hek tot NOS-hoofdredacteur Hans Laroes, en van Frits Wester tot Maxime Verhagen, en met hen miljoenen andere twitteraars overspoelden gisteren het miniblog Twitter met 'besmette' berichten. Vrijwel iedere actieve twitteraar kreeg ermee te maken.

Inmiddels is duidelijk dat het ging om een ouder beveiligingslek in Twitter, dat bij de introductie van een nieuwe Twitterversie opnieuw opdook. Door een zogenaamde onMouseOver-event als tekst aan een tweet toe te voegen is het mogelijk om bepaalde acties in de account van de ontvanger uit te laten uitvoeren. In vaktermen wordt dit ook wel cross-site scripting (XSS) genoemd.

De ontdekker van het oorspronkelijke lek, de Japanner Masato Kinugawa (@RainbowTwtr, account inmiddels geschorst) meldde de fout al op 14 augustus aan Twitter. Toen hij een week later zag dat hier nog niets mee gedaan was besloot hij de proef op de som te nemen en een onschuldige code, waarmee hij andere tweets deed verkleuren, online te plaatsen.

Dit wordt opgepikt door de 17-jarige Pearce H. Delphin (@zzap), die ten onrechte de ontdekking op zijn naam krijgt. Mogelijk omdat de kop '17-jarige jongen oorzaak aanval op Twitter' lekkerder bekt dan 'Japanse programmeur meldde lek eerder aan Twitter'. Wel ziet Delphin onmiddelijk het potentieel van de ontdekking van Kinugawa:

En

En Delphin zit niet stil. Binnen 9 minuten is hij de eerste die een Javascriptje in een tweet verwerkt:

Dit scriptje wordt geactiveerd als je met je muis over de link gaat en zorgt ervoor dat er een pop-up op je beeldscherm verschijnt met een tekst. 'Uh Oh' in eerste instantie en 'Just wait until someone uses this for evil' in de tweede tweet.

Een volgende stap doet de Noor Magnus Holm (@judofyr), die een toevoeging aan de code doet waardoor het bericht automatisch wordt geretweet (doorgestuurd). Hij lijkt zelf nog het meest verrast dat het werkt:

En waar je tekstjes kunt laten verschijnen, kun je natuurlijk ook doorverwijzen naar complete sites. Binnen een half uur weten honderden grappenmakers, pornoboeren en spammers het lek te misbruiken en verspreiden de ongewenste tweets zich over het web. De enigen die weten te ontsnappen zijn de twitteraars die gebruik maken van zogenaamde clients als Tweetdeck en Twhirl. Een pleidooi kortom, om geen gebruik te maken van Twitter via je browser maar van (webbased zo u wilt) clients in het vervolg.

Bijna 4 uur later meldt Twitter zelf op de hoogte te zijn van de problemen

En nog 's 20 minuten later meldt Twitter dat het probleem is verholpen en het lek gedicht is.

Uiteindelijk is er, doordat Twitter in tweede instantie snel handelde, erger voorkomen. Denk aan virussen of het plaatsen van Trojans. Het toont wel aan dat je als gebruiker kwetsbaar bent en afhankelijk van programmatuur die misschien helemaal niet zo veilig is als je zou hopen. Maar mogelijk draagt het #onmouseover-lek bij aan een verdere bewustwording hiervan.