Россиянин нашел в Twitter «баг» для публикации сообщений от имени любого пользователя

Софт Безопасность Интернет
мобильная версия
, Текст: Валерия Шмырова

Исследователь кибербезопасности из Digital Security нашел в соцсети Twitter логическую уязвимость, которая позволяла публиковать сообщения от имени любого другого пользователя. Доступ к аккаунту жертвы не требовался. Сообщения можно было размещать на страницах СМИ или влиятельных лиц, что грозило катастрофами.


Уязвимость в Twitter

Сотрудник российской компании Digital Security, которая занимается исследованиями в сфере кибербезопасности, обнаружил уязвимость в соцсети Twitter. Она дает возможность публиковать записи от лица любого пользователя на его странице. При этом злоумышленнику не требуется доступ к аккаунту жертвы. Для эксплуатации бага достаточно продвинутых пользовательских навыков.

Уязвимость была выявлена 26 февраля 2017 г. Егором Жижиным, известным также под никнеймом kedrisec. К 28 февраля соцсеть закрыла «дыру». Twitter адресовал Жижину официальную благодарность вкупе с «крупным денежным вознаграждением», сообщает Digital Security. О факте обнаружения уязвимости компания рассказала лишь два месяца спустя, предоставив таким образом соцсети время на поиск аналогичных багов.

Технические особенности

Уязвимость была связана с наличием в Twitter сервиса ads.twitter.com. Сервис представляет собой библиотеку, которая позволяет загружать различные файлы, например, изображения или видео. Для эксплуатации бага нужно было зайти в ads.twitter.com и выбрать функцию «Загрузить медиафайл». В процессе соцсеть предоставляла пользователю возможность твитнуть этот файл и поделиться им с другими пользователями по выбору.

Возможность твитнуть файл предполагает среди прочего использование id владельца изображения и id пользователя соцсети, на странице которого опубликуется твит. Для успешной публикации твита в чужом аккаунте достаточно было перехватить запрос на твит и подменить в запросе POST эти id, а также медийный ключ файла.

Разместив ложные твиты в Twitter-аккаунтах нескольких СМИ, хакер мог спровоцировать катастрофу

Подмена id хакера на те, которые принадлежат жертве, происходила достаточно легко: узнать нужные аккаунты можно с помощью различных сервисов. Сложность заключалась в том, что злоумышленнику нужно каким-то образом добыть медийный ключ файла, который содержится в библиотеке жертвы. Узнать этот ключ может только владелец файла. Подобрать ключ, состоящий из 18 цифр, практически невозможно. Поэтому преступнику следовало воспользоваться другой опцией – поделиться файлом с жертвой. После этого целевой аккаунт становился совладельцем файла, ключ которого уже известен хакеру.

Главная опасность

Особую опасность найденной уязвимости Digital Security видит в том, что используя этот баг, преступник мог разместить одинаковую информацию в нескольких аккаунтах одновременно. Если бы это были новостные издания или страницы публичных лиц, то такие действия могли спровоцировать экономическую или политическую катастрофу.

Пример подобной провокации имел место в январе 2017 г., когда на странице издания The New York Times в Twitter было размещено сообщение о ядерном ударе по США со стороны России. На этот аккаунт, где газета размещает различные видеоролики, подписано более 250 тыс. читателей. Ложные твиты были вскоре удалены. Как выяснилось впоследствии, аккаунт газеты был взломан хакерской группировкой OurMine.