ΑρχικήinvestigationsEXCLUSIVE: Εντοπίστηκε κρίσιμη αδυναμία στο Twitter (?)

EXCLUSIVE: Εντοπίστηκε κρίσιμη αδυναμία στο Twitter (?)

Η κρίσιμη αδυναμία φαίνεται να επηρεάζει το Twitter στα δομικά του χαρακτηριστικά (core) και να επιτρέπει απομακρυσμένη εκτέλεση εντολών (remote execution) !!!

twitter_Hacked

Τις τελευταίες ημέρες έχουν γνωστοποιηθεί στο ευρύ κοινό περιπτώσεις που έχουν άμεση σχέση με την ασφάλεια στο Twitter. Συγκεκριμένα θυμίζουμε ότι το προφίλ του ιδρυτή του Facebook, Mark Zuckerberg έπεσε θύμα επίθεσης hackers  ενώ την ίδια στιγμή στο Darknet κυκλοφορούν πλήρεις βάσεις δεδομένων με κωδικούς χρηστών του Twitter στην τιμή των 10 Bitcoins. Ειδικοί ασφαλείας και μέσα ενημέρωσης έσπευσαν να αναφέρουν ότι η επίθεση δεν “έπληξε” το Twitter αλλά ότι κάποιο εξελιγμένο Malware με δυνατότητα υποκλοπής κωδικών υπέκλεψε πληροφορίες χρηστών όπως usernames και passwords πρόσβασης. Είναι όμως πράγματι έτσι ή κάτι πιο σοβαρό συμβαίνει;

Russian-hackers

Πρίν περίπου 24 ώρες, χρήστης της πλέον γνωστής πλατφόρμας εντοπισμού σφαλμάτων ασφάλειας επι αμοιβή (Πλατφόρμα bug bounty) Hackerone, έλαβε από το Twitter ενα ύπερογκο ποσό ως αμοιβή για τον εντοπισμό σφάλματος!

twitter-bounty

Συγκεκριμένα φαίνεται ότι ο χρήστης με το ψευδώνυμο filedescriptor έλαβε το ποσό των 15,120$ (!). Εκτιμούμε ότι από το Twitter δεν ήταν επιθυμητό να ανακοινωθούν περισσότερες λεπτομέρειες για την συγκεκριμένη αδυναμία και όπως μπορούμε να δούμε και κατά την ανακοίνωση της πληρωμής οι λεπτομέρειες έχουν πλήρως αποκρυφθεί, ακόμα και ο τίτλος της αδυναμίας!

filedescriptor

Αν διαβάσει κάποιος προσεκτικά το πρόγραμμα ανταμοιβών του Twitter στην πλατφόρμα του Hackerone είναι σαφές ότι αυτό το ύψος του ποσού αφορά ανταμοιβή για αδυναμίες που επιτρέπουν στον επιτιθέμενο την απομακρυσμένη εκτέλεση εντολών (remote code execution) που επηρεάζει το Core Twitter. Δείτε χαρακτηριστικά τον σχετικό πίνακα:

twitter-program

Ο χρήστης filedescriptor είναι από το Hong Kong και είναι ένας απο τους πλέον καταξιωμένους και επιτυχημένους σε παγκόσμιο επίπεδο, “Κυνηγούς αδυναμιών” (bug bounty hunters). Το αποδεδειγμένο track record του στον εντοπισμό σοβαρότατων αδυναμιών σε εταιρείες κολοσσούς (όπως το Twitter), τον κατατάσει με διαφορά μεταξύ των καλύτερων “ηθικών Hackers” παγκοσμίως!

Μπορείτε να διαβάσετε και τα εξαιρετικά εξειδικευμένα posts του filedescriptor στην ιστοσελίδα του [εδώ]

filedescriptor-profile

Μέχρι (εαν και εφόσον) υπάρξει επίσημη ανακοίνωση από το Twitter, δεν μπορούμε να είμαστε ΑΠΟΛΥΤΩΣ σίγουροι για το είδος της αδυναμίας που εντοπίστηκε και την ακριβή του επίλυση. Τα συνοδά στοιχεία όμως που συλλέξαμε, αποδεικνύουν ότι μια σοβαρότατη αδυναμία υπήρχε στο Twitter μέχρι και πριν 24 ώρες και που επιδιορθώθηκε πιθανότατα μετά την υπόδειξη του filedescriptor.

Προτείνουμε στους αναγνώστες μας-χρήστες του Twitter να αλλάξουν ΑΜΕΣΑ τον κωδικό πρόσβασης ΚΑΙ να ενεργοποιήσουν την λειτουργία διπλής πιστοποίησης (Two factor).

Τι συμβαίνει όμως αν αυτή η αδυναμία είχε εντοπιστεί και προγενέστερα απο κακόβολους χρήστες; Μήπως τα τελευταία κρούσματα διαρροών στο Twitter τελικά σχετίζονται με την αδυναμία που εντοπίστηκε & επιδιορθώθηκε, όπως όλα δείχνουν πριν 24 ώρες; Η ισχύει το σενάριο της διασποράς Malware σε χρήστες;

Εν αναμονή πιο διαφωτιστικών ανακοινώσεων λοιπόν,μείνετε συντονισμένοι για οτιδήποτε νεότερο.

Υ.Γ. Το SecNews έχει και το δικό του πρόγραμμα ανταμοιβών, με την έναρξη της συνεργασίας μας με το Hackerone. Διαβάστε προσεκτικά τους όρους του προγράμματός μας για την επιβράβευση των αδυναμιών και υποβάλλετε τα reports σας μέσω της πλατφόρμας.

Μπορείτε να εγγραφείτε και να δοκιμάσετε και εσείς την ασφάλεια της ιστοσελίδας μας εδώ: https://hackerone.com/secnews

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS