Wie door bit.ly verkorte links opent, loopt een serieus risico. Dat is de conclusie na de eerste dag van de Maand van de Twitter-lekken. Elke dag zal de Israëlische beveiligingsonderzoeker Aviv Raff een kwetsbaarheid in Twitter-gerelateerde diensten onthullen. Bit.ly is vanwege de 150 karakter limiet van Twitter erg populair voor het inkorten van links, maar de dienst is zelf zo lek als een mandje en reageert traag op beveiligingsproblemen. Het eerste lek betreft een cross-site scripting (XSS) kwetsbaarheid die op 18 mei voor het eerst gemeld werd, en een week later gepatcht was. De patch werkte niet naar behoren, waardoor het probleem gedeeltelijk nog bestond. Uiteindelijk besloot Bit.ly het probleem een paar dagen geleden helemaal op te lossen.

Het tweede XSS-lek werd op 24 juni gemeld en was een week later gepatcht. XSS-kwetsbaarheid nummer drie kwam op 21 juni aan het licht en behoorde negen dagen later tot het verleden. Het vierde lek, wederom XSS, was sinds 25 juni bekend, maar pas sinds gisteren verholpen. Hierdoor was het mogelijk om scripts op een website te injecteren. "Bit.ly had anderhalve maand nodig om eenvoudige XSS-lekken te patchen", zegt Raff, die de site een zware onvoldoende geeft.

"Bit.ly heeft een grote groep gebruikers, wie klikt er niet op bit.ly links? Met zo'n slechte respons op beveiligingslekken en met zo'n slecht geprogrammeerde website, kunnen we alleen op het beste hopen. Wees alsjeblieft voorzichtig met het openen van die verkorte URLs..."