17-jähriger Australier steckt hinter Twitter-Attacke

Ein 17-Jähriger aus Melbourne hat die gestrige XSS-Attacke auf Twitter ausgelöst. Pearce Delphin machte sich eine zuvor von „RainbowTwtr“ entdeckte Lücke in Twitters Code zunutze. Er schleuste JavaScript-Code ein, der per Mouseover ein Pop-up-Fenster öffnete.

Hacker hätten den Code danach verändert, um ihn weiterzuverbreiten und Nutzer auf Pornosites umzuleiten, berichtet die Nachrichtenagentur AFP. „Ich wollte nur ausprobieren, ob es funktioniert, ob man JavaScript tatsächlich innerhalb eines Tweets ausführen kann“, erklärte Delphin gegenüber ZDNet Australien.

Der Sicherheitsanbieter Netcraft hatte den Schadcode bis zu Delphin zurückverfolgt. Er habe gar nicht darüber nachgedacht, welches Chaos er auslösen könnte, sagte der 17-Jährige. „Ich habe eine Sicherheitslücke entdeckt und keinen Wurm programmiert, der sich selbst reproduziert. Das ist genaugenommen keine Straftat.“

Delphin zufolge hätte die Schwachstelle leicht dazu ausgenutzt werden können, Passwörter und Nutzernamen zu stehlen. Die Schwierigkeit habe darin bestanden, mit weniger als 140 Zeichen einen funktionierenden Code zu schreiben.

Masato Kinugawa, ein japanischer Hacker, behauptete gegenüber dem britischen Guardian, er habe die XSS-Lücke schon Mitte August an Twitter gemeldet, woraufhin sie geschlossen worden sei. Sie sei jedoch mit einem kürzlich eingespielten Update der Site wieder aufgetaucht, weshalb Kinugawa den Account „RainbowTwtr“ angelegt habe, um auf die Schwachstelle aufmerksam zu machen.

Laut Threatpost waren über 500.000 Twitter-Nutzer von der Attacke betroffen, darunter auch das Weiße Haus sowie die Frau des britischen Ex-Premiers Gordon Brown. Das Konto von RainbowTwtr wurde mittlerweile deaktiviert.