Un investigador ha puesto de manifiesto los serios errores encontrados en el servicio de acortamiento de url´s para Twitter Bit.ly. Los errores encontrados son, principalmente, defectos graves de cross-site scripting (XSS).Bit.ly es uno de los servicios de acortamiento de url´s más populares. El servicio se integra con Firefox y otras aplicaciones de terceros para Twitter y permite que los usuarios registrados puedan seguir el rastro de sus links acortados.
Raff puso énfasis en los errores XSS en la URL y en las vulnerabilidades en el campo del usuario en la página de login de Bit.ly y en el campo “content-type” de la URL de la página de información. Los errores, descubiertos por Mike Bailey y Mario Heiderich, han tardado casi un mes en ser corregidos por los desarrolladores de Bit.ly. El último parche fue distribuido ayer.
Los servicios de acortamiento de links están siendo el centro de atención de los ataques en los últimos meses. El mes pasado, un fallo en el servicio cli.gs redireccionó 2,2 millones de url´s a una única página web. Aunque la página no contenía código malicioso, el ataque puso de manifiesto las carencias en alguno de estos servicios.
El proyecto de descubrimiento de fallos iniciado por Raff, denominado “El mes de bugs de Twitter”, está acaparando la atención de los profesionales de la seguridad debido al gran aumento en el uso de Twitter, Facebook y otras redes sociales.
Raff ha sido muy crítico con Twitter y los servicios de terceros que se basan en la API de Twitter para conectar con la plataforma. En un post reciente, afirmó que esta API podría ser usada como trampolín por los atacantes para crear y propagar gusanos y otro contenido malicioso para robar los datos sensibles de los usuarios.
