'严肃的'Twitter缺陷让黑客派遣了其他人的账户
企业敦促为敲诈勒索竞选做准备
澳大利亚政府警告区间的差距
科技部门告诉政府,数字身份政策是“迫切需要”的
Wikileaks邮寄了CIA恶意软件植入刺客和午夜的用户指南
CIO采访:IT Holden,Halfords Group
黑莓手机许可证安全技术到IoT设备制造商
ISOC警告企业不应被IPv6部署留下
O2用诺基亚ai为客户为中心的网络权力
BlockChain集成将ERP变为协作平台
微软的Windows 10更新策略显示出群体
“嘿Siri,为窃贼的人买100比特币”
避免了过去的infosec错误,敦促罗伯特汉尼曼
华为说,美国政府禁止违宪
Apple的iOS 11 GM泄漏:钱在哪里?
研究表明,2018年数字现实及股票大部分集邮扑克市场并购活动
中国网络攻击集团青铜联盟针对武器技术
Slack推出共享频道以连接跨国公司的团队
SAP 2018 FY:云收入近5亿欧元,10,500百万客户为S / 4 Hana
丰田澳大利亚在网络攻击下
Kellogg的测试VR开发销售战略
CES 2019:这里插入车载导航服务中的Alexa
Whatsapp将注意力转向业务
Facebook计划在Android手机用户上窥探,内部电子邮件揭示
谷歌挤压赛门铁克直到IT证书
谷歌的像素2拥有其他人都忽略的现实
AWS在英国政府皇冠市场计划中确保云托管角色
不,Windows XP没有燃料vandacry
汉考克承诺GP它大修
Microsoft Slates 9月发布Windows Server的第一个快速升级
Mingis关于Tech:iPad Pro(最后)为企业准备好吗?
微软:不,这不是审计
Surface Pro 4问题:Windows你好消失了,摇摇欲坠的屏幕
Apple的Arkit需要一个CMS来达到其潜力
西部数字纠纷与东芝仲裁头
MWC 2019:O2由圣诞节推出5G
为NHS提供了一个非常数字化计划
Clydesdale,约克郡和维尔京钱选择OpenShift数码推动
Microsoft在Windows 10 Fall Creators更新上分享详细信息
蓝牙设备很快就会有网状网络功能
Microsoft修复了Windows恶意软件保护引擎中的远程黑客缺陷
alexa为企业为Smart A.I铺平道路。工作助理
常问问题:Microsoft计划如何升级Office 365
IT优先事项2019:安全涉及网络买家的顶级议程
卫生秘书Matt Hancock推出了NHSX组织,以领导科技战略
AI战斗正在升级:这是IT巨头的下一步
Microsoft详细介绍了如何使用Intune安装Office
荷兰制药公司COMENTRIES切换CATO SD-WAN的MPLS
如何创建沉浸式VR胶片树
大多数英国消费者都说应该监管Facebook
您的位置:首页 >论坛 > 电子业界 >

'严肃的'Twitter缺陷让黑客派遣了其他人的账户

2021-08-22 09:44:11 [来源]:

英国安全研究员在Twitter中发现了一个严重的缺陷,允许任何人知道漏洞,从其他用户的帐户发送推文。

Richard de Vere来自伦理喧嚣公司的反社会工程师,每周告诉计算机,他在几分钟内完成了如何利用缺陷。

“这不是一个复杂的黑客,它是代码中的逻辑缺陷。”他说。

缺陷公开了具有与其相关联的移动电话号码的任何帐户。通过了解该号码,攻击者能够发布推文,转发,发送直接邮件或发布图像和视频。根据De Vere的说法,黑客甚至可以关闭Twitter的双因素认证功能,这意味着用户的登录和密码详细信息的了解将能够完全控制帐户。

De Vere每周展示到计算机。我们分享了与@ComputerWeekly Twitter帐户相关联的手机号码。几分钟之内,我们的书面许可,De Vere发布了一个关于帐户的推文(见下文),说:“感谢您允许我们展示攻击,”在添加的图像上方,“谢谢@ComputerWeekly,允许我们将此帐户发布为PoC [概念证明]。”我们随后删除了推文。

de Vere报告了涉及Hackerone的详细信息,该公司运行Twitter的Bug Bounty程序以通知漏洞。他说他不寻求付款,但这是报告这个问题的唯一途径。

他每周向计算机解释一下,在一个高级摘要中,如何让人成为可能,但要求我们不要透露这些信息,以担心希望利用缺陷的恶意演员。然而,De Vere表示,他认为一些黑客可能已经了解了这个错误,并将其用作Twitter上的诈骗的一部分,其中高调帐户似乎对假加密货币性方案的推文促销促进了。

Security Consultancy Byte的首席执行官Ed Tucker和HM收入和海关的前任IT安全负责人将该缺陷描述为“严重漏洞”。

“想象一下,如果说,你使用了这个漏洞的10,000个电话号码,然后写了关于某事的推文,也许是比特币诈骗,或者可能是一些假新闻。然后,与Twitter帐户相关联的每个电话号码都会发布相同的消息,“他说。

“想象一下,你能做什么,或者用之前完成了什么。你只会注意到自己的帐户上的一些奇怪的行为,而不是所有的人都这样做。“

Tucker赞扬了反社会工程师来曝光问题,指出没有办法在不经过Hackerone报告过程的情况下向Twitter提供错误的细节。

De Vere表示,他预计推特与问题斗争,因为它可能意味着在全球范围内切断其与该错误相关的重要部分。但他也是自信的推特将解决缺陷。

“你知道它对自己的网站实际找到解决方案是多么令人沮丧 - 但它没有作为标准执行的?这是政策的经典案例比现实世界实施更好。他说,IT安全团队曾经痴迷于社交工程往往的经常攻击,“他说。

黑客以前通过扮演Entrepreneur Elon Musk和劫持高调推特账户来占用巨大的麝香,以促进假加密或比特币方案的刺激麝香,以前在Cryptocurrency Scams中占据了数千美元。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。