Foto: Getty
Ein Fehler in der Twitter-Produkt haben könnte, erlaubt Angreifern, um tweets zu senden aus einem beliebigen Konto und löschen von Fotos und videos von tweets veröffentlicht, laut einer aktuellen blog-post von der security-Forscher, die es entdeckt. Es ist die zweite Breite Schwachstelle in das Produkt, genannt Studio, das ist ans Licht gekommen, vor kurzem, die Fragen stellen, wie gut Twitter sichert seine Plattform.
Twitter lanciert Studio im letzten August, als ein Werkzeug für die Medien, Verlage zu rationalisieren den Prozess der Veröffentlichung von video-content. Aber die Teilnehmer in der Twitter-bug-bounty-Programm schnell erkannte, konnte Sie ausnutzen Fehler in der Twitter-code zum veröffentlichen von tweets über anderer Leute accounts ohne zu stehlen Ihre Passwörter.
“Ich begann die Suche nach Sicherheitslücken nach dem Start [Studio],” Forscher Anand Prakash erklärt in einem Beitrag, der Letzte Woche veröffentlicht, in der die Sicherheitsanfälligkeit ausgenutzt wird. Er entdeckt das problem innerhalb von einem Tag Studio starten und testete es auf einem Freund ‘ s Konto.
Ein Twitter-Sprecher gegenüber Gizmodo in einer E-Mail der Firma, dass der Fehler innerhalb von 24 Stunden Prakash Bericht. Der Sprecher fügte hinzu, dass das Unternehmen hat keine Beweise dafür, dass alle Benutzer-accounts kompromittiert wurden, außer für Prakash ‘s friend’ s Konto, die er auf die zugegriffen werden mit der Erlaubnis zum zeigen der Fehler.
Der Fehler “gewesen sein könnte von Angreifern verwendet werden, um tweet von anderen Konten, hochladen von videos auf Namen von Benutzer, löschen von Fotos/videos von Opfer – tweets, – Ansicht der privaten Medien hochgeladen, die von anderen Twitter-accounts, etc.” Prakash erklärt.
Da Berechtigungsprüfungen waren nicht vorhanden, Prakash war in der Lage, ersetzen Sie die Benutzer-ID von seinem Ziel, den account in den Studio-code, so dass er die Tweets aus dem target-Konto ohne Zugriff auf Ihr Passwort.
Zum Glück, es ist wahrscheinlich, dass niemand ausgenutzt den bug, bevor Prakash entdeckt. Auf dem Start -, Studio nur für Verlage, die schon auf der Whitelist von Twitter. Twitter-Patch der Fehler innerhalb von 24 Stunden Prakash Bericht und zahlte ihm $5,040 für seine Forschung.
Aber Prakash ist nicht der einzige Forscher, der entdeckte gravierende Mängel im Studio. Ein Forscher, der geht durch Kedrisch gesagt, Motherboard, entdeckte er einen ähnlichen bug immer noch anhaltenden in Studio code Februar dieses Jahres. Die Sicherheitsanfälligkeit Kedrisch gefunden hätte offenbar erlaubt Angreifern zu veröffentlichen tweets von einem anderen Benutzer-account, so lange, wie eine media-Datei angehängt war. Twitter behoben, der diese Sicherheitsanfälligkeit in drei Tagen, und zahlte ihm $7,560 für es zu finden. (Twitter, wie viele Unternehmen, belohnt Forscher, die verantwortungsvoll die Schwachstellen, durch dessen bug-bounty-Programm.)
Natürlich, die Fähigkeit, tweet, der von jemand anderes Konto, ohne dass Ihre Passwort konnte beweisen, sehr nützlich für einen Angreifer—besonders in einer Zeit, als der Präsident nutzt Twitter als seine primäre Plattform für die Kommunikation mit der öffentlichkeit. Bug-bounty-Programme sind eine gute Möglichkeit für Unternehmen, um das aufspüren von Sicherheitslücken in Ihren Produkten, aber die Tatsache, dass das Studio eine solche Breite Schwachstellen in der rollout nicht genau, begeistern viel Vertrauen.