ちょっと下にスクロールすると首相夫人のページあらポップアップしたカ*ビアン、一*道のサイトのキャプが見れる。
http://www.sophos.com/blogs/gc/g/2010/09/21/twitter-onmouseover-security-flaw-widely-exploited/

しかも8月23日にこの問題は認識されていた…
http://github.com/mzsanford/twitter-text-rb/commit/cffce8e60b7557e9945fc0e8b4383e5a66b1558f

URLを確認する正規表現の甘さをついたexploitのようだ。

  @[^\/]+\/

「@の後「/」以外のキャラが続いてそのあと「/」」という部分が寛大すぎたようだ。これじゃ/以外の何のどんなキャラクタでも入れられるからね。ありがちなパターンだ。気をつけなきゃね。修正版の「valid_general_url_path_chars」ってのが許された文字を明示的に指定したものだろう。