Twitter s'est récemment excusé pour avoir dû couper l'accès de son client TweetDeck, un outil qui permet la gestion de plusieurs comptes Twitter, suite à un problème de sécurité XSS.

Tweetdeck  La faille permettait à des individus mal intentionnés de lancer du code JavaScript à distance et d'envoyer des popups invitant les utilisateurs à fermer leur application. Twitter a donc désactivé son service le temps de procéder au colmatage, et vient ainsi de rouvrir les vannes.

Ce serait principalement l'extension de TweetDeck du navigateur Chrome de Google qui aurait été le plus touché par la faille et ayant occasionné des bugs. En effet, lorsqu'un message contenant du code JavaScript est publié sur Twitter, ce dernier s'affiche normalement sous la forme de texte, sans que les commandes ne soient activées. Pourtant chez certains utilisateurs, ces codes partagés ont bien entrainé des actions allant du retweet aux publications.

Les attaques ont principalement été réalisées sous la forme de retweet de liens spécifiques, mais on ne sait actuellement pas si cette dernière a pu compromettre les données personnelles d'utilisateurs.

Source : The Verge