"Hilfe! Was macht ihr gegen diesen Twitterwurm Mikeyy?", fragte der Grünenpolitiker Volker Beck am Ostermontag offensichtlich hektisch in einem Tweet. Und war mit dieser Frage nicht allein. Denn ein 17-jähriger Schüler hatte eine Lücke in der Software des Microblogging-Dienstes Twitter entdeckt, den Millionen Menschen weltweit nutzen, um online in kurzen Textbotschaften mitzuteilen, was sie gerade so tun und denken.

Am Osterwochenende teilten einige Hundert unfreiwillig mit, dass sie eine bestimmte Website namens Stalkdaily.com toll fänden. Wer in den Tweets auf den daran gehängten Link drückte, infizierte sein Profil und nahm an der Werbung für die Seite teil. Die gehört Michael "Mikeyy" Mooney, einem Schüler aus New York, der hinterher erklärte, er habe vor allem auf Lücken der Programmierung von Twitter hinweisen und sich nebenbei ein wenig Aufmerksamkeit verschaffen wollen.

Das tat er gründlich. Immerhin ließ er nicht nur einen Wurm auf den Bloggingdienst los, sondern zwei. Nach dem ersten Angriff am Ostersamstag folgte ein zweiter am Tag darauf – und die Drohung des bis dahin noch unbekannten Autors, es könnten weitere folgen.

Möglich wurde ihm das durch einen Fehler in der Software. Cross Site Scripting, kurz XSS, heißt die Technik, die er nutzte, um der Datenbank von Twitter eine unerlaubte Abfrage unterzujubeln. Eigentlich dürfte ein von einem Nutzer eingegebener Code nicht vom Browser ungeprüft an den Server von Twitter weitergeleitet werden. Doch es geschah, und so gab Mikeyy einige Zeilen Javascript in vier neu angelegte Profile ein, die Erstaunliches bewirkten.

Schaute sich jemand, der selbst bei Twitter eingeloggt war, einen infizierten Account an, forderte das Mikeyy-Script von dessen Browser den Usernamen des Neugierigen und das Twitter-Cookie an. Und bekam beides auch. Mit diesen Daten konnte sich das Script im Profil des Betroffenen verewigen und es infizieren. Außerdem war es dadurch in der Lage, im Namen des gekaperten Accounts Twitternachrichten zu verschicken und sich zu verbreiten. So wurde das Script zu einem Wurm. Der auch immer den Link zu Mikeyys eigener Seite Stalkdaily mittransportierte.

Dabei wurden keine Passwörter der Accounts verraten oder geknackt, sondern lediglich vorgegaukelt, dass die von Mikeyy eingegebenen Daten Twitter-eigene seien. Kam jemand anderes vorbei, erkannte sein Browser die fremden Daten als "echte" und übernahm sie.