開發者は、他サーバーから取得したデータを汚染された物としてみなす必要がある。XSSだけが問題ではなかつた。

X (旧Twitter)のURLカードに致命的な脆弱性。うかつに開かないで
https://social.076.moe/url/1463096

いったいなぜこのようなことが起こるのか、仕組みはこうだ。URLカードを開くと、まず、『joinchannelnow［.］net』というサイトにアクセスする。

このサイトは、User-Agentを解析して、人間が使っている普通のブラウザであれば詐欺のTelegramアカウントページへと飛ばし、それ以外のXのBOTなどは『forbes.com』へと飛ばす。こうすることで、Xのシステムを騙し、URLカードに『forbes.com』と表示させている。

この巧妙な手口は、仮想通貨詐欺、フィッシング詐欺、マルウェアサイトへの誘導、トロイの木馬を含んだアプリのインストールなどあらゆる悪用が懸念される。