La falla che ha portato quintali di spam su Twitter nella giornata di ieri è stata risolta, ma il caso si è in realtà chiuso soltanto molte ore più tardi in seguito ad un nuovo ed ulteriore comunicato diramato dal gruppo. Twitter, in particolare, ha dovuto rispondere alle critiche di coloro i quali hanno ipotizzato una conoscenza di lunga data della vulnerabilità e pertanto un’attesa eccessiva nell’intervento lasciando l’utenza alla mercé del pericolo. Una nuova versione ufficiale, dunque, è stata portata online per sgombrare il campo.
La versione breve, anzitutto: la falla è giunta alla conoscenza del team alle ore 2.54 ed è stata risolta circa 4 ore più tardi. Un’ulteriore ora di lavoro ha permesso di risolvere altri problemi minori correlati che ancora permanevano sul network. Twitter non fornisce però dati circa il quantitativo e l’entità dell’uso del codice maligno, dunque rimane ignota la portata dell’attacco che ha imperversato per almeno 5 ore sul sito.
La versione completa porta alla luce un dettaglio ulteriore. La vulnerabilità legata al codice JavaScript nei messaggi (con richiamo nel caso specifico della funzione onMouseOver), infatti, sarebbe sì stata nota già in passato, ma sarebbe stata anche già risolta. Per motivi non meglio precisati (ma non correlati all’annunciato arrivo della nuova versione del sito) la falla è però stata riproposta durante un aggiornamento del sito, riportando così in auge un problema teoricamente sepolto.
Non siamo a conoscenza di alcun problema correlato all’attacco che abbia arrecato problemi ai computer o agli account. E non c’è bisogno di cambiare la password perchè le informazioni degli account non sono state compromesse durante questo exploit. Non ci concentriamo soltanto sul risolvere rapidamente gli exploit quando prendono forma, ma anche nell’identificazione delle vulnerabilità in anticipo. Questo problema è ora risolto. Ci scusiamo con coloro i quali vi hanno impattato