17岁澳大利亚男孩、日本开发者引发twitter灾难

一个17岁的澳大利亚男孩称
昨天twitter发生的灾难性事件是他无意间引发的。但好像在几个小时前一个日本开发者已经做了些什么。

Pearce Delphin，或者也可以叫他
@zzap，称他通过tweet一段带有OnMouseOver函数的JavaScript代码暴露这个安全漏洞。当用户的鼠标滑过消息时，就会自动弹出一个窗口。

很快，代码就被修改去做一些其他事情--自动执行RT，打开色情网站等，直到几个小时以后，twitter管理员才
修复了这个漏洞。

“我只是想试试这段代码能不能通过发一条推来执行……，在点了发送按钮那一瞬间，我也不知道将会发生什么，我想都没想。”Delphin通过email告诉
AFP。

“我发现一个漏洞，但我并没有制造一个可以自我繁殖的蠕虫病毒。据我所知，这好像不犯法。”Delphin说。他希望不要因此陷入麻烦，但是他非常有可能-这种情况下最正确的做法是向twitter报告这个漏洞。

然而，在这次事件中，这个漏洞太初级而又传播得太快，我们无法就认定Delphin要对此引发的灾难负责。Delphin说他的想法来自于另外一个家伙，一个可以使他的推变颜色的家伙，意思是他并不是第一个利用这个漏洞的人。

“另一个家伙”可能就是那个名叫Masato Kinugawa的日本开发者了，Masato Kinugawa说他在8月14号的时候向twitter报告了这个XSS漏洞，这个漏洞随之就被打了补丁，但是后来他发现这个漏洞又可以利用了……然后他就建立了一个帐号RainbowTwtr（已经被suspend），用来证明他能够发彩色推。

Twitter官方博客说：”我们上个月确实已经打了补丁，但最近的一次网站升级（跟
新版twitter无关），使这个漏洞又暴露出来。

整个事件中有一点值得注意：漏洞很简单，容易渗透，并且传播得非常迅速。twitter应该更加注重它的安全问题以防止类似的破坏事件再次发生。

via