image

Hackers stelen Twitter-cookies via XSS-lek

dinsdag 7 september 2010, 12:27 door Redactie, 2 reacties

Een nieuw cross-site scripting-lek in Twitter werd actief door aanvallers misbruikt voor het stelen van cookies. De aanval is waarschijnlijk het werk van Braziliaanse hackers, aangezien de gebruikte domeinnamen voor het verkrijgen van de gestolen cookies onder Braziliaanse namen geregistreerd zijn", aldus Stefan Tanase van Kaspersky Lab. Daarnaast wordt één van de domeinnamen in Brazilië gehost en begon de aanval met een Tweet in het Portugees.

Zodra Twitteraars op de link klikken, wordt hun cookie gestolen en is hun account gekaapt, merkt Tanase op. Meer dan 100.000 mensen zouden op de link hebben geklikt. Op XSSed staat dat het probleem nog openstaat, maar Twitter laat weten dat het lek inmiddels gepatcht is. Volgens beveiligingsonderzoeker Mike Bailey had hij slechts tien minuten nodig om aan de hand van de informatie op XSSed een proof-of-concept en exploit te maken.

Reacties (2)
07-09-2010, 15:30 door [Account Verwijderd]
[Verwijderd]
08-09-2010, 10:18 door Anoniem
Dit is heel makkelijk te voorkomen met httponly!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.