Информационная безопасностьНовости

Уязвимость в Twitter позволяет публиковать записи от лица других пользователей

ИБ-специалист компании The Antisocial Engineer Ричард де Вер (Richard De Vere) обнаружил опасный баг в Twitter: зная номер телефона, можно писать сообщения (в том числе личные) от лица чужой учетной записи.

Исследователь рассказал о проблеме журналистам издания Computer Weekly, и так как баг пока не был исправлен, технических подробностей об уязвимости де Вер раскрыл немного.

По словам специалиста, эксплуатация уязвимости не требует каких-то глубоких познаний или сложных манипуляций. Главное – узнать номер телефона, привязанный к аккаунту жертвы. После этого атакующий получает возможность публиковать записи (текст, фото или видео) и рассылать личные сообщения от лица чужой учетной записи. Де Вер утверждает, что потенциальный злоумышленник даже может отключить двухфакторную аутентификацию, если это потребуется.

Дабы не быть голословным, эксперт продемонстрировал журналистам эксплуатация бага на примере Twitter-аккаунта самого Computer Weekly. С разрешения редакции де Вер за считанные минуты разместил PoC-пост от лица издания.

Специалист сообщил, что уже создал багрепорт на HackerOne, однако подчеркнул, что вовсе не стремится получить вознаграждение, просто это оказался единственный способ уведомить разработчиков Twitter о проблеме.

Де Вер полагает, что обнаруженной им уязвимостью уже могут пользоваться хакеры. К примеру, по его мнению, возможно, именно таким образом злоумышленники компрометируют верифицированные учетные записи известных людей и крупных компаний в Twitter, чтобы потом использовать полученный доступ для криптовалютного скама от лица знаменитостей.

Ваш e-mail не будет опубликован. Он потребуется для подтверждения Вашего поста.
Оформление текста Нажмите «Ввод», чтобы отправить ответ.