Эксперт британской ИБ-компании The Antisocial Engineer Ричард де Вер (Richard De Vere) сообщил о найденной им уязвимости в платформе Twitter. Воспользовавшись брешью, злоумышленники могут отправлять от чужого имени сообщения, публиковать твиты, картинки или видео, а также вносить изменения в настройки безопасности, вплоть до отключения двухфакторной аутентификации.

Как рассказал исследователь изданию Computer Weekly, баг представляет собой простую логическую ошибку в коде. Для ее эксплуатации преступникам не нужно совершать сложные манипуляции — необходим лишь привязанный к аккаунту номер телефона. Де Вер отметил, что атаку можно осуществить всего за несколько минут.

Чтобы продемонстрировать эксплуатацию уязвимости, специалист отправил сообщение в Twitter от имени Computer Weekly, заранее заручившись согласием издания. Де Вер подробно рассказал журналистам обо всех технических деталях взлома, однако попросил не оглашать их, пока ошибка не будет исправлена.

Подробности также содержатся в отчете, который исследователь направил компании Twitter через платформу HackerOne. Разработчики соцсети используют эту платформу для своей программы bug bounty, выплачивая «белым» хакерам денежные премии за найденные баги. Впрочем, британский эксперт заявил, что не ждет вознаграждения, и обратился к HackerOne только потому, что это был единственный способ сообщить об ошибке.

Уязвимость ставит под удар все аккаунты, к которым привязаны номера телефонов. Де Вер полагает, что злоумышленники могут уже знать о бреши и использовать ее в своих целях. В частности, исследователь подозревает, что именно через этот баг криптомошенники взламывали официальные аккаунты крупных компаний.

Де Вер выражает уверенность, что разработчики быстро исправят ошибку несмотря на то, что для этого им придется на некоторое время отключить на платформе часть важных функций.

Программа bug bounty довольно эффективно помогает социальной сети находить и устранять уязвимости. В частности, в декабре этого года Twitter закрыла брешь в интерфейсе аутентификации, которая давала неавторизованному приложению доступ к личной переписке пользователя. Правда, бывают и случаи, когда разработчики игнорируют информацию о багах. Так, на прошлой неделе компания сообщила об ошибке, о которой независимый исследователь заявил через программу bug bounty еще два года назад.

Категории: Главное, Уязвимости