321Для использования уязвимости достаточно знать номер телефона другого человека\n
Специалист по безопасности Ричард де Вер (Richard De Vere) сообщил, что нашел в Twitter уязвимость, которая позволяет публиковать посты и писать личные сообщения от лица другого пользователя.
Де Вер рассказал об опасном баге изданию Computer Weekly. Уязвимость до сих пор не устранена, поэтому он не смог раскрыть подробности того, как можно получить доступ к чужому аккаунту. Для того чтобы доказать справедливость своих слов, с разрешения редакции эксперт опубликовал твит от лица издания.
Ричард де Вер утверждает, что для использования уязвимости достаточно узнать номер телефона, привязанного к атакуемому аккаунту. При этом не нужно обладать специальными техническими познаниями, а сам процесс взлома крайне прост.
Кроме написания твитов и сообщений баг позволяет изменять настройки профиля. Например, злоумышленник может отключить двухфакторную аутентификацию, чтобы облегчить себе доступ к аккаунту.
Для того чтобы сообщить разработчикам о проблеме, Ричард де Вер опубликовал баг-репорт на bug bounty платформе HackerOne. По словам специалиста, это был единственный способ донести сведения об уязвимости до программистов Twitter.
Опасным багом, вероятно, уже воспользовались злоумышленники, которые взламывают популярные аккаунты для продвижения мошеннических проектов.
Поделитесь этим с друзьями!
Evan Mcbride
Будьте первым, кто оставит комментарий
Пожалуйста, авторизируйтесь для возможности комментировать