Что происходит с Twitter: хакерская атака и возможность читать чужие личные сообщения

Опубликовано at 15:33
218 0

От одной из самых влиятельных в мире социальных сетей поступают в последнее время сплошь тревожные новости. Так, разработчики Twitter сообщили, что 15 ноября они зафиксировали атаку на сервис. Неизвестные хакеры обнаружили и эксплуатировали баг в форме обращения в поддержку. Сообщается, что запросы, которые направляли уязвимой форме, исходили от множества IP-адресов, в основном принадлежащих провайдерам в Китае и Саудовской Аравии.

Из-за бага через форму обращения в поддержку можно было узнать заблокирован ли конкретный аккаунт, а также узнать код страны привязанного к нему телефонного номера. Таким образом, хакеры могли установить страну любого пользователя и соотнести его учетную запись с определенной географической зоной.

«Пока мы не можем с уверенностью назвать цель и источник данной атаки, но возможно, что некоторые из IP-адресов имели связь с правительственными хакерскими группами», – пишут представители социальной сети, не уточняя, однако, о каких правительствах идет речь (и не были ли провайдеры Китая и Саудовской Аравии только ширмой – трудно представить себе хакеров этих двух стран работающих совместно).

Баг, которым пользовались неизвестные, уже устранен.

Другая новость, поступившая от Twitter почти одновременно: КБ-специалист Теренс Иден получил от сервиса 2940 долларов США по программе вознаграждения за обнаруженные уязвимости. Иден обнаружил, что некоторые приложения могли читать личные сообщения пользователей Twitter, о чем социальная сеть не предупреждала.

Дело в том, что ключи и секреты для официального Twitter API утекли и довольно давно доступны публично. То есть разработчики в теории имеют возможность обращаться к API без одобрения сервиса. Чтобы избежать подобного развития событий, инженеры Twitter предусмотрели callback URL, то есть после успешного входа приложение может использовать только заранее определенный URL. Другая мера – использование специальных PIN-кодов. Тут-то и была проблема: Иден нашел, что пользователям по какой-то причине показывают некорректную информацию OAuth, что приложение не сможет получить доступ к их личным сообщениям, хотя на самом деле это не так, и доступ у приложения есть.

Эта проблема также уже исправлена.

Подписываемся, следим @CyberAgency

Related Post

9 миллионов готовых для любой атаки киберсолдат: познакомьтесь с самым беспечным производителем электроники в мире

Опубликовано - 10.10.2018 0
Эксперты по кибербезопасности из SEC Consult обнаружили неожиданно крупную рыбу. Речь идет об устройствах Hangzhou Xiongmai Technology, выпускаемых под различными…

Добавить комментарий