原因はハート、ってなんぞ。
TweetDeckを使っている人、今すぐログアウトしてください。TweetDeckにXSS脆弱性が発覚したんです。攻撃者がこれを悪用すると、ツイートするだけで第三者のコンピューターに遠隔でコードを実行できる可能性があったんです。問題がわかっているのは、今のところTweetDeckのChrome拡張版、FirefoxのWebアプリ、Windowsデスクトップクライアントです。すでに攻撃が多数確認されていますが、その内容は意味のないメッセージをポップアップ表示させたり、ツイートを強制的にリツイートさせたりといったもので実害はありませんでした。とはいえ潜在的にはもっと大きな被害が出る可能性もありました。
Tweetdeck公式アカウントからはいったん(現地時間=日本時間6月12日4:31AM)問題修正完了のツイートがありましたが、その後30分もしないうちにサーヴィスが一時停止されました。
We've temporarily taken TweetDeck services down to assess today's earlier security issue. We'll update when services are back up.
— TweetDeck (@TweetDeck) 2014, 6月 11最終的には再度復旧のツイートがあり、パッチがあてられましたが、それを有効にするには一度TweetDeckからログアウトしなくちゃいけません。
We've verified our security fix and have turned TweetDeck services back on for all users. Sorry for any inconvenience.
— TweetDeck (@TweetDeck) 2014, 6月 11ちなみにこの問題を最初に発見したのはオーストラリアに住む19歳のギーク、Florianさん(またの名をFiro)でした。彼は「ハート」記号をツイートに表示させようとしていろいろいじっていたら、ツイート内にプログラムを仕込めることに気づいてしまったんです。
Florianさんはすぐにツイッターの運営に問題を報告したんですが、並行して「TweetDeckに脆弱性発見」とツイートしてしまいました。結果、有象無象のハッカーたちがこれを利用し、いたずらツイートを自動リツイートさせたり、ポップアップを表示させたりといった事態になったのです。中にはこの脆弱性について警告するポップアップもありました。
お騒がせで終わったのは何よりでしたが、自分が知らないうちに意味のないリツイートしてたりしたらそれだけで気持ち悪いですね。
Eric Limer-Gizmodo US[原文]
(miho)
