Баг в твиттер позволил злоумышленнику писать в твиттере от вашего имени

Twitter исправил ошибку в своей службе Twitter Ads, которая могла позволить злоумышленнику писать в Twitter, как и любой другой пользователь.

До того, как в начале этого года он был исправлен, недостаток в Twitter мог позволить злоумышленнику писать в твиттере, как и любой другой пользователь.

Twitter быстро решил проблему, исправив ее через три дня после того, как исследователь — охотник за ошибками, который работает с кедришем, — сообщил об этом через HackerOne. Кедриш обнаружил уязвимость в феврале и получил награду в размере 7560 долларов США через несколько дней в марте. Исследователь опубликовал подробности о недостатке ранее в этом месяце, но билет HackerOne был обнародован только в понедельник.

Уязвимость была связана с рекламной платформой Twitter, ads.twitter.com, платформой самообслуживания, которая позволяет компаниям продвигать твиттеры, счета и отслеживать рекламные кампании в социальных сетях.

Согласно записи уязвимости Кедриша, он смог перехватить запрос и изменить два параметра, owner_id и user_id, на tweet в качестве другого пользователя.

Сначала он получил несколько сообщений об ошибках, но в конце концов получил ответ, что его твиттер был успешно опубликован. Уязвимость, по крайней мере вначале, зависела от того, что злоумышленник загрузил медиафайл, например, изображение, в твиттер, который он хочет отправить. По словам Кедриша, простого наличия изображения недостаточно, злоумышленнику необходимо имя файла, связанное с изображением, Media_key, что-то, что может быть трудно определить.

«Пользователь, который мы используем для публикации, должен иметь загруженный медиа-файл. Более того, необходимо знать Media_key этого файла, и его практически невозможно раскрыть грубой силой, так как он содержит 18 цифр, — писал Кедриш, — В своих исследованиях я не нашел 100% способ узнать этот Media_key. Всегда существовали некоторые ограничения и обстоятельства, позволяющие получить этот Media_key.»

Загрузив файл изображения и поделившись им с пользователем — что позволяет Twitter Ads — Кедриш понял, что он может совершить такую же атаку без 18-значного кода. Вместо этого он обнаружил, что может перехватить тот же почтовый запрос, который посылается в Twitter, когда пользователь пишет в Twitter и меняет ручку Twitter.

В Twitter уязвимость была отмечена как высокая степень серьезности, согласно отчету Kedrisch HackerOne.

«Эта ошибка была исправлена сразу же после сортировки, и не было обнаружено никаких доказательств использования этого дефекта кем-либо, кроме репортера», — сообщил Threatpost в среду в Twitter.

Согласно странице HackerOne в Twitter, компания выплатила $703 240 исследователям за ошибки с момента запуска своей баговой программы в мае 2014 года. Хотя вознаграждение Кедриша в размере $7,560 может показаться некоторым невысоким, оно соответствует тому, что компания регулярно платит за «Значительное обход аутентификации» в Core Twitter: $7,500. Уязвимости удаленного выполнения кода в сервисе могут достигать в два раза больше, $15 000.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *