'严肃的'Twitter缺陷让黑客派遣了其他人的账户
英国安全研究员在Twitter中发现了一个严重的缺陷,允许任何人知道漏洞,从其他用户的帐户发送推文。
Richard de Vere来自伦理喧嚣公司的反社会工程师,每周告诉计算机,他在几分钟内完成了如何利用缺陷。
“这不是一个复杂的黑客,它是代码中的逻辑缺陷。”他说。
缺陷公开了具有与其相关联的移动电话号码的任何帐户。通过了解该号码,攻击者能够发布推文,转发,发送直接邮件或发布图像和视频。根据De Vere的说法,黑客甚至可以关闭Twitter的双因素认证功能,这意味着用户的登录和密码详细信息的了解将能够完全控制帐户。
De Vere每周展示到计算机。我们分享了与@ComputerWeekly Twitter帐户相关联的手机号码。几分钟之内,我们的书面许可,De Vere发布了一个关于帐户的推文(见下文),说:“感谢您允许我们展示攻击,”在添加的图像上方,“谢谢@ComputerWeekly,允许我们将此帐户发布为PoC [概念证明]。”我们随后删除了推文。
de Vere报告了涉及Hackerone的详细信息,该公司运行Twitter的Bug Bounty程序以通知漏洞。他说他不寻求付款,但这是报告这个问题的唯一途径。
他每周向计算机解释一下,在一个高级摘要中,如何让人成为可能,但要求我们不要透露这些信息,以担心希望利用缺陷的恶意演员。然而,De Vere表示,他认为一些黑客可能已经了解了这个错误,并将其用作Twitter上的诈骗的一部分,其中高调帐户似乎对假加密货币性方案的推文促销促进了。
Security Consultancy Byte的首席执行官Ed Tucker和HM收入和海关的前任IT安全负责人将该缺陷描述为“严重漏洞”。
“想象一下,如果说,你使用了这个漏洞的10,000个电话号码,然后写了关于某事的推文,也许是比特币诈骗,或者可能是一些假新闻。然后,与Twitter帐户相关联的每个电话号码都会发布相同的消息,“他说。
“想象一下,你能做什么,或者用之前完成了什么。你只会注意到自己的帐户上的一些奇怪的行为,而不是所有的人都这样做。“
Tucker赞扬了反社会工程师来曝光问题,指出没有办法在不经过Hackerone报告过程的情况下向Twitter提供错误的细节。
De Vere表示,他预计推特与问题斗争,因为它可能意味着在全球范围内切断其与该错误相关的重要部分。但他也是自信的推特将解决缺陷。
“你知道它对自己的网站实际找到解决方案是多么令人沮丧 - 但它没有作为标准执行的?这是政策的经典案例比现实世界实施更好。他说,IT安全团队曾经痴迷于社交工程往往的经常攻击,“他说。
黑客以前通过扮演Entrepreneur Elon Musk和劫持高调推特账户来占用巨大的麝香,以促进假加密或比特币方案的刺激麝香,以前在Cryptocurrency Scams中占据了数千美元。