Россиянин нашел в Twitter «баг» для публикации сообщений от имени других пользователей

[душман]

Сотрудник российской компании Digital Security, которая занимается исследованиями в сфере кибербезопасности, обнаружил уязвимость в соцсети Twitter. Она дает возможность публиковать записи от лица любого пользователя на его странице. При этом злоумышленнику не требуется доступ к аккаунту жертвы, для эксплуатации бага достаточно продвинутых пользовательских навыков.

Уязвимость была выявлена 26 февраля 2017 года Егором Жижиным, известным также под никнеймом kedrisec. К 28 февраля соцсеть закрыла «дыру». Twitter адресовал Жижину официальную благодарность вкупе с «крупным денежным вознаграждением», сообщает Digital Security. О факте обнаружения уязвимости компания рассказала лишь два месяца спустя, предоставив таким образом соцсети время на поиск аналогичных багов.

Уязвимость была связана с наличием в Twitter сервиса ads.twitter.com. Сервис представляет собой библиотеку, которая позволяет загружать различные файлы, например, изображения или видео. Для эксплуатации бага нужно было зайти в ads.twitter.com и выбрать функцию «Загрузить медиафайл». В процессе соцсеть предоставляла пользователю возможность твитнуть этот файл и поделиться им с другими пользователями по выбору.

Возможность твитнуть файл предполагает среди прочего использование id владельца изображения и id пользователя соцсети, на странице которого опубликуется твит. Для успешной публикации твита в чужом аккаунте достаточно было перехватить запрос на твит и подменить в запросе POST эти id, а также медийный ключ файла.

Подмена id хакера на те, которые принадлежат жертве, происходила достаточно легко: узнать нужные аккаунты можно с помощью различных сервисов. Сложность заключалась в том, что злоумышленнику нужно каким-то образом добыть медийный ключ файла, который содержится в библиотеке жертвы. Узнать этот ключ может только владелец файла. Подобрать ключ, состоящий из 18 цифр, практически невозможно. Поэтому преступнику следовало воспользоваться другой опцией – поделиться файлом с жертвой.

После этого целевой аккаунт становился совладельцем файла, ключ которого уже известен хакеру.