EDIT : c’est en fait un beau CSRF sur une nouvelle feature de Twitter… juste un CSRF tout pas beau et tout vieux qui est la cause de cette nouvelle propagation (voir les commentaires ci-dessous avec le code d’exploitation). Pas de risque de compromission de vos données… pour l’instant, juste une belle iframe toute sale qui ne serait jamais arrivée là avec un code propre.
Il semble que Twitter soit pour la seconde fois cette semaine victime d’une attaque. Constaté à l’instant sur l’interface web. Les timelines se retrouvent pourries de mots doux à caractére pornographique avec un joli link qui ira lui même contaminer la timeline de vos followers…
Je n’ai pas encore le détail de l’attaque mais l’url postée semble faire un truc bizarre exploitant l’API de Twitter, à vérifier.
Bref il semble que Twitter attire l’attention de beaucoup de petits malins et que l’application elle même soit gavée de trous de sécurité… Mais qu’attendent ils pour se payer un véritable audit ?