exameinformatica

Uma parceria EXPRESSO

Siga-nos nas redes

Perfil

Internet

Twitter: falha na plataforma deixava criar tweets em qualquer conta da rede

Um bug na funcionalidade Twitter Ads permita que atacantes, através de alterações no código fonte dos tweets, personificassem qualquer utilizador e publicassem os tweets que quisessem nas suas contas.

  • 333

Ruben Nascimento Oliveira

Uma falha de segurança na rede social dedicada ao micro-blogging permitia que atacantes publicassem Tweets na conta de qualquer utilizador, tal como se tivesse sido este mesmo a escrevê-los.

O Bug foi exposto na funcionalidade para a criação de anúncios pelo investigador de cibersegurança Kedrisec, reporta a Zdnet.

De acordo com a explicação publicada no blog do perito, esta funcionalidade para fazer o upload de conteúdo como vídeos ou imagens, continha uma opção para verificar o tweet antes da sua publicação que podia ser explorada para usos indevidos.

Durante este processo de verificação dos Tweets antes de serem publicados na rede, se partilhados os "rascunhos" em privado com o utilizador, estes poderiam depois através de uma alteração no código ser publicados na conta que os tivesse recebido sem autorização do seu detentor.

A falha foi depois reportada ao Twitter que numa questão de poucos dias lançou um patch para a corrigir. Posteriormente, como agradecimento pelo alerta a empresa premiou ainda o investigador pelos seus esforços com cerca de 6760 euros.

Tendo em conta que nos dias que correm quase tudo e toda a gente tem uma conta no Twitter, incluindo grandes organizações e chefes de estado, uma exploração desta vulnerabilidade poderia ter gerado o caos na plataforma. Felizmente ninguém a explorou antes de Kendrish, alega o Twitter.

Este bug e o processo que levou à sua descoberta, é bastante complexo e esta explicado a fundo no blog do investigador para aqueles que quiserem informações mais detalhadas. (Clique aqui para ver o seu blog)

  • 333