Ένα απλό bug στo Twitter, το οποίο είχε περάσει απαρατήρητο για χρόνια, θα μπορούσε να είχε σπείρει το χάος στην πλατφόρμα.

To κενό ασφάλειας που επηρεάζε για χρόνια την πλατφόρμα, μπορούσε να επιτρέψει σε έναν εισβολέα να δημοσιεύσει tweets στο προφίλ οποιουδήποτε χρήστη, χωρίς να χρειάζεται να έχει πρόσβαση στο λογαριασμό του.

Το bug, αναδείχθηκε μέσω της πλατφόρμας εύρεσης ευπαθειών HackerOne, και επιδιορθώθηκε δύο ημέρες αργότερα. Η ευπάθεια αξιολογήθηκε ως υψηλής κρισιμότητας και ο ερευνητής έλαβε χρηματικό ποσό ύψους $7,560 για την ανακάλυψή της.

Όπως εξηγεί ο Kedrisch, το bug εντοπιζόταν στο service library του Twitter Ads Studio (υπηρεσία διαφημίσεων του Twitter) μέσω της οποίας οι χρήστες μπορούν να κάνουν upload πολυμέσων και περιεχομένου. Η υπηρεσία προσφέρει επίσης τη δυνατότητα για review των αρχείων που μεταφορτώθηκαν, πριν τη δημοσίευσή τους.

“Kάνοντας share κάποιο αρχείο πολυμέσων με έναν χρήστη, και στη συνέχεια τροποποιώντας το post request, το εν λόγω αρχείο δημοσιευόταν αυτόματα στο προφίλ του χρήστη/θύματος” ανέφερε το Twitter.

Με απλά λόγια; Τροποποιώντας τον κώδικα που στέλνεται στο Twitter όταν δημοσιεύεται κάτι, ο καθένας θα μπορούσε να ποστάρει ένα tweet σε οποιοδήποτε προφίλ τρίτου.

 [Πρέπει να είστε εγγεγραμμένοι και συνδεδεμένοι για να δείτε αυτόν το σύνδεσμο.]

 [Πρέπει να είστε εγγεγραμμένοι και συνδεδεμένοι για να δείτε αυτόν το σύνδεσμο.]