Letzte Woche wurde Twitter zum ersten Mal Opfer eines erfolgreichen Hackerangriffs. Der Microbloggingdienst war zwischenzeitlich nicht mehr zu erreichen.
Der Angriff bezog sich auf einzelne Tweets, die HTML- und Javascript-Code enthielten. Ging ein User mit der Maus über einen solchen Tweet, wurde die Nachricht automatisch von ihm versendet. Einige Nachrichten enthielten wohl auch einen Link zu einer japanischen Pornoseite, wie Christian in seinem Blog zweidoteins berichtet.

Der Code der einzelnen Tweets sah in etwa so aus:
onmouseover=";$('textarea:first').val(this.innerHTML);$('.status-update-form').submit()"
style="color:#000;background:#000;"

Hier zeigt sich, dass die Hacker einfach auf den vorhandenen Code von Twitter aufbauen. Da Twitter für viele Funktionen der Webseite die JavaScript-Library jQuery verwendet wird, kann man auf diese mit dem Dollar-Zeichen ($) zugreifen.
Der Code wird ausgeführt, wenn man mit der Maus über den Tweet fährt; dies ermöglicht das Attribut onmouseover. Dann wird der Inhalt des Tweets in die erste Textarea - das Eingabefeld für Tweets - kopiert. Anschließend wird das Formular mit $('.status-update-form').submit(); abgeschickt. Somit verbreitet sich der Tweet samt angehängtem Link praktisch automatsch.

Eigentlich eine ziemlich schlaue Art und Weise, die die Hacker da nutzen: Sie bauen ihren Hack auf 140 Zeichen auf und setzen dort alles um, was sie erreichen wollen.
Twitter erklärte wenige Stunden, nachdem der Angriff bekannt geworden war, dass die Sicherheitslücke geschlossen sei.

Es wäre sicher interessant einen kleinen Contest zu starten, wer den schönsten Hack in 140 Zeichen umsetzen kann. So etwas ähnliches gab es neulich schon mal: Man hatte genau 1 Kilobyte (also 1024 Zeichen) zur Verfügung um tolle Dinge mit Javascript anzustellen. Vielleicht hat ja noch jemand eine solche Idee und setzt sie um :-).