El supuesto hacker de TweetDeck cuenta su historia a Quadratín México

MÉXICO, DF.,  15 de junio de 2014.- El pasado miércoles,  TweetDeck, la aplicación de escritorio de Twitter, estuvo fuera de servicio por cerca de dos horas debido a un problema de seguridad que provocó que miles de usuarios retuitearan mensajes sin control y sin autorización.

A las 11.31 del miércoles Tweet Deck mencionó es su cuenta de Twitter que «Un problema de seguridad que afecta a TweetDeck esta mañana ha sido corregido. Por favor, cierra tu sesión y reingresa para aplicar la corrección».

Los mensajes retuiteaban un script con un código de internet (o el mensaje de una cuenta de Twitter) con el icono de un corazón rojo, mismo que alcanzó miles de retuits lo cual originó problemas en cuentas como las del @NYTimes, @CBCNews y @BBCBreaking.

Todo esto fue provocado por un joven austriaco de 19 años, quien fue satanizado en esa misma red social y acusado por varios medios de haquear la aplicación de Tweetdeck.

Quadratín México buscó en las redes al supuesto culpable. Lo contactó primero vía Twitter y posteriormente se estableció una serie de comunicados vía e-mail, donde el usuario (identificado como «Firo Xl») menciona “estar algo enojado que algunas personas digan que haqueee TD. Esto es totalmente erróneo. TD cerró su sitio para prevenir el daño a otros usuarios. Yo intenté decirle a TD el daño que este script podría provocar, pero no hubno respuesta inmediata”

Poco después de las 17 horas de este domingo Quadratín México ubicó a Firo Xl y le pidió: “Hola, mi nombre es Diego, de la Agencia Quadratín y nos puedes localizar en quadratin.com.mx. Quisiera conocer los hechos de tu historia para publicarla. Quisiera nos contaras los hechos detrás de todas las noticias que ya se han dicho de ti en internet. ¿Realmente tienes 19 años?  ¿podrías darme tu nombre, donde estás ubicado, y tu ocupación…?”.

Firo Xl respondió: Tengo 19 años de edad. Me llamo Florian. Soy de Austria (no de Australia como algunos noticieros no lo han diferenciado). Voy a la Universidad”.

El intercambio de información se realizó en idioma inglés y la historia de FiroXl es la siguiente:

“Yo estaba tuitiando el HTLM-heart-symbol (♥) porque yo no sabía que ese símbolo existía. TweetDeck supuestamente no enseña esto como una imagen pues es simple texto, que debiera ser puesto como ‘&hearts’. Pero en mi tweet yo usé el carácter de Unicode, de un corazón como referencia para mis seguidores. El mensaje quedó con dos corazones. Uno era negro (con la posición donde el código ‘&hearts’; se supone debe aparecer) y el otro era rojo (este era el carácter unicódigo y fue reemplazado por Tweetdeck).

“Así que empecé a jugar y descubrí que el corazón en Unicódigo fue reemplazado por una imagen por TweetDeck) y entonces usé strong-HTML-tag lo que es el ahora famoso “I wounder if this work (A ver si esto funciona). Ahí estuvo el famoso tuit y funcionó. Escribí un pequeño Script para mostrar un Popup y entonces se autobloqueó. Funcionó.

“A esto se le llama XSS (Croos-Site-…) y es muy peligroso. Ningún desarrollador web podría hacer esto posible. Tweet Deck lo hizo.  Y fue en ese momento que se lo reporté a Tweet Deck.

“TD no reaccionó de ninguna manera. Su siguiente tweet decía que había un problema de seguridad y decía que usuarios debían salir y entrar de nuevo.

“No habían tenido problema desde 2011. Mi opinión es que ellos deberían reescribir todo el código”.