Uma falha no Twitter existiu por anos e permitia que fossem postadas
mensagens a partir de qualquer conta, sem precisar de autenticação.
A vulnerabilidade foi identificada pelo pesquisador de segurança identificado apenas como Kedrisch e revelada ao Twitter, que corrigiu o problema em 28 de Fevereiro deste ano, apenas dois dias depois da denúncia.
Dada sua complexidade, aparentemente a brecha não foi utilizada por
ninguém antes da correção. A falha estava presente na plataforma de
publicação de anúncios da rede social, no sistema que permitia a
visualização de uma postagem antes de ativar a publicação. O processo
envolvia compartilhar conteúdo com a conta da vítima e ajustar
parâmetros no endereço de publicação, burlando a autenticação e
publicando a mensagem automaticamente como se fosse de autoria do alvo
do ataque.
Com o uso de contas sequestradas no Twitter como ferramenta política ou arsenal de espionagem,
uma vulnerabilidade deste vulto oculta por anos é algo para se
preocupar. A brecha foi denunciada graças ao programa de recompensas
para bugs oferecidos pela empresa e a descoberta rendeu a Kedrisch a
soma de US$7.560, pouco mais que R$24 mil no câmbio atual, uma pequena
cifra para o Twitter, mas que evitou um estrago muito maior.
Mais detalhes técnicos sobre sua investigação podem ser encontrados no blog administrado pelo pesquisador de segurança.
Fonte: Codigo Fonte