(che poi Easter egg non è)
Tra una colomba ed un uovo di cioccolata durante il week pasquale Twitter è stato colpito da un worm, StalkDaily, creato dal solito adolescente americano annoiato.
Il worm sfrutta una vulnerabilità XSS scoperta qualche giorno prima fino ad allora non patchata.
In pratica del codice Javascript maligno è inserito nella sezione bio (in particolare sfrutta l’attributo color del CSS), ogni volta che un utente visiterà la pagina personale di un utente infetto il worm si riprodurrà “rubando” dal browser i cookie necessari per creare un token e così autenticarsi come il povero utente e inviare messaggi a sua insaputa. Qui il codice.
Nel caso specifico, si pubblicizzava il sito StalkDaily, un clone di Twitter creato dallo stesso ideatore del worm in questione.
Ad oggi Twitter sembra aver chiuso la falla. Si raccomanda comunque di controllare la propria pagina personale e di verificare che nella sezione bio sia tutto apposto (cambiare password a questo punto non può far male).
Update: sembra che una variante del worm continui a diffondersi ed abbia come target gli utenti che hanno più followers. Probabilemente a causa dello stesso autore del precedente, Mikeyy Mooney.
