Twitter: Κενό ασφάλειας επέτρεπε τη δημοσίευση από οποιοδήποτε profile

Twitter: Κενό ασφάλειας επέτρεπε τη δημοσίευση από οποιοδήποτε profile
Η ευπάθεια αξιολογήθηκε ως υψηλής κρισιμότητας και ο ερευνητής έλαβε χρηματικό ποσό ύψους $7,560 για την ανακάλυψή της.

Ένα bug, που επηρέαζε για χρόνια την πλατφόρμα, μπορούσε να επιτρέψει σε έναν εισβολέα να δημοσιεύσει tweets στο προφίλ οποιουδήποτε χρήστη, χωρίς να χρειάζεται να έχει πρόσβαση στο λογαριασμό του.

Το bug, αναδείχθηκε μέσω της πλατφόρμας εύρεσης ευπαθειών HackerOne, και επιδιορθώθηκε δύο ημέρες αργότερα. Η ευπάθεια αξιολογήθηκε ως υψηλής κρισιμότητας και ο ερευνητής έλαβε χρηματικό ποσό ύψους $7,560 για την ανακάλυψή της.

Όπως εξηγεί ο Kedrisch, το bug εντοπιζόταν στο service library του Twitter Ads Studio (υπηρεσία διαφημίσεων του Twitter) μέσω της οποίας οι χρήστες μπορούν να κάνουν upload πολυμέσων και περιεχομένου. Η υπηρεσία προσφέρει επίσης τη δυνατότητα για review των αρχείων που μεταφορτώθηκαν, πριν τη δημοσίευσή τους.

“Kάνοντας share κάποιο αρχείο πολυμέσων με έναν χρήστη, και στη συνέχεια τροποποιώντας το post request, το εν λόγω αρχείο δημοσιευόταν αυτόματα στο προφίλ του χρήστη/θύματος” ανέφερε το Twitter.

Με απλά λόγια; Τροποποιώντας τον κώδικα που στέλνεται στο Twitter όταν δημοσιεύεται κάτι, ο καθένας θα μπορούσε να ποστάρει ένα tweet σε οποιοδήποτε προφίλ τρίτου.

ΚΑΤΕΒΑΣΤΕ ΤΟ APP ΤΟΥ PAGENEWS PAGENEWS.gr - App Store PAGENEWS.gr - Google Play