23 de mayo de 2017

Un fallo técnico permitía tuitear sin permiso desde cualquier cuenta de Twitter

Si pudieras publicar un tuit desde cualquier cuenta de Twitter, ¿cuál elegirías? Podrías darte publicidad desde el perfil de Kim Kardashian, la madre de todos los influencers, o salir en todas las noticias con un tuit incendiario de Donald Trump. Incluso podrías vengarte de aquel mísero troll que una vez te humilló.

Lo increíble es que, hasta el 28 de febrero de este año, tu deseo pudo hacerse realidad. Un fallo en la plataforma de anuncios de Twitter permitía a cualquier extraño publicar sin permiso con la cuenta de otro usuario. Nadie se dio cuenta hasta que un investigador de seguridad encontró el problema y lo reportó.

“El [investigador] descubrió un fallo en el manejo de solicitudes de Twitter Ads Studio que permitía a un atacante tuitear como cualquier usuario”, explica Twitter en la plataforma de bug bounty HackerOne. “Al compartir medios con un usuario víctima y luego modificar la solicitud de publicación con el ID de esa cuenta, los medios en cuestión se publicaban desde la cuenta de la víctima”.

En otras palabras, el atacante solo tenía que modificar el código que se envía a Twitter Ads Studio para publicar un tuit desde la cuenta de cualquier persona, sin necesidad de hackearle el perfil o conocer su contraseña. El investigador descubrió el bug en febrero tras pasar “varios días” buscando fallos con los que reclamar una recompensa. Este era sorprendentemente “fácil de explotar”.

El hacker dio parte a Twitter el 25 de febrero y la compañía lo recompensó con 7560 dólares, una cifra que se antoja baja para un problema tan significativo (el programa de bug bounty de Twitter ofrece hasta 15.000 dólares por reporte). La compañía tardó solo tres días en parchear el fallo y hoy lo ha hecho público.

Fuente: gizmodo

No hay comentarios: