От одной из самых влиятельных в мире социальных сетей поступают в последнее время сплошь тревожные новости. Так, разработчики Twitter сообщили, что 15 ноября они зафиксировали атаку на сервис. Неизвестные хакеры обнаружили и эксплуатировали баг в форме обращения в поддержку. Сообщается, что запросы, которые направляли уязвимой форме, исходили от множества IP-адресов, в основном принадлежащих провайдерам в Китае и Саудовской Аравии.
Из-за бага через форму обращения в поддержку можно было узнать заблокирован ли конкретный аккаунт, а также узнать код страны привязанного к нему телефонного номера. Таким образом, хакеры могли установить страну любого пользователя и соотнести его учетную запись с определенной географической зоной.
«Пока мы не можем с уверенностью назвать цель и источник данной атаки, но возможно, что некоторые из IP-адресов имели связь с правительственными хакерскими группами», – пишут представители социальной сети, не уточняя, однако, о каких правительствах идет речь (и не были ли провайдеры Китая и Саудовской Аравии только ширмой – трудно представить себе хакеров этих двух стран работающих совместно).
Баг, которым пользовались неизвестные, уже устранен.
Другая новость, поступившая от Twitter почти одновременно: КБ-специалист Теренс Иден получил от сервиса 2940 долларов США по программе вознаграждения за обнаруженные уязвимости. Иден обнаружил, что некоторые приложения могли читать личные сообщения пользователей Twitter, о чем социальная сеть не предупреждала.
Дело в том, что ключи и секреты для официального Twitter API утекли и довольно давно доступны публично. То есть разработчики в теории имеют возможность обращаться к API без одобрения сервиса. Чтобы избежать подобного развития событий, инженеры Twitter предусмотрели callback URL, то есть после успешного входа приложение может использовать только заранее определенный URL. Другая мера – использование специальных PIN-кодов. Тут-то и была проблема: Иден нашел, что пользователям по какой-то причине показывают некорректную информацию OAuth, что приложение не сможет получить доступ к их личным сообщениям, хотя на самом деле это не так, и доступ у приложения есть.
Эта проблема также уже исправлена.
