Ayer asistimos a una desagradable casualidad que puso en jaque la seguridad de varios servicios online utilizados por millones de usuarios. Concretamente, el cliente alternativo de Twitter Tweetdeck tuvo problemas con una vulnerabilidad XSS que provocó su desconexión durante varias horas. Además, y de forma totalmente independiente a lo anterior, un orquestado ataque DDoS afectó a redes de la talla de Evernote, Vimeoo Feedly. De hecho, este último sigue desde ayer caído.
En qué consiste el ataque XSS a Tweetdeck
En este caso, el problema ha sido ya subsanado, y lo único que hemos sufrido los usuarios, además de la imposibilidad de utilizar el cliente durante unas horas, es tener que volver a hacer login para acceder.
Un ataque XSS se basa en la inyección de código malicioso normalmente aplicado a servicios y aplicaciones web en forma de hipervínculo o enlace con etiquetas en JavaScript o lenguajes similares que provocan la ejecución de una acción sin el conocimiento del afectado. En el caso que nos ocupa, la reacción en cadena la ha provocado un tweet que automáticamente se retuiteaba a nuestros contactos, desplegándose por miles de cuentas en pocos minutos. Este es el código en cuestión:
A security issue that affected TweetDeck this morning has been fixed. Please log out of TweetDeck and log back in to fully apply the fix.
— TweetDeck (@TweetDeck) June 11, 2014
En este caso, la acción realizada era tan inofensiva como la expansión indiscriminada de un tweet, pero ha servido para comprobar que Tweetdeck era vulnerable a un ataque XSS. Actualmente el servicio ya funciona correctamente y se ha subsanado el problema.
<script class="xss">$('.xss').parents().eq(1).find('a').eq(1).click();$('[data-action=retweet]').click();alert('XSS in Tweetdeck')</script>♥
— *andy (@derGeruhn) June 11, 2014
El ataque DDoS a Feedly y otros servicios
Desde el blog oficial de Feedly han informado puntualmente del suceso. Han estado sufriendo un ataque de denegación de servicio DDoS a sus servidores por parte de un extorsionador que pedía compensación económica por detener el asedio. Este tipo de actividad consiste en saturar una red a base de copar su ancho de banda realizando miles de peticiones por segundo, y provocando la caída del servicio hasta que se tomen medidas. En este caso, el ataque se ha basado en una tasa de 100 gigabits por segundo a través de varios vectores de acción localizados en diferentes lugares del mundo.
Evernote is up and running. There may be a hiccup or two for the next 24 hours. We appreciate your patience.
— Evernote (@evernote) June 11, 2014
Feedly no ha sido la única víctima, habiéndose realizado ataques en muchos otros conocidos servicios como Evernote, Meetup, Basecamp, Vimeo, Bit.ly y otros. Aún así, salvo Feedly, que estará disponible en las próximas horas, el resto han sido reestablecidos por completo sin haberse comprometido la seguridad o los datos de sus usuarios.