miércoles, 24 de mayo de 2017

Twitter admite error que permitía tuitear desde otra cuenta

La seguridad nunca ha sido el fuerte de Twitter. Por ello, y hasta el pasado 28 de febrero, la red de microbloggin permitía a cualquiera que lo desease el poder enviar mensajes desde cualquier cuenta de Twitter (de entre las más de 300 millones que componen su registro). gracias a un un fallo en su servicio de anuncios.

Un error de Twitter del que la empresa fue desconocedora hasta que un investigador de seguridad dio con él el 26 de febrero en una revisión rutinaria: “Durante la exploración de seguridad de Twitter, como parte del programa BugBounty, encontré una vulnerabilidad que permitía a los hackers publicar entradas en el perfil de cualquier usuario del servicio sin que, previamente, tuviesen acceso a la cuenta de la víctima”.

Del mismo modo y nada más hacerse eco del descubrimiento lo dio a conocer mediente la propia red social, la cual puso solución al mismo en los días posteriores, sin hacerlo público.


Con el problema resuelto, y tras dos días desde su comunicación extraoficial, la compañía se pronunció al respecto en la plataforma HackerOne, explicando los motivos que originaron este error de Twitter que permitía tuitear desde cualquier cuenta: “Al compartir medios con el usuario, y víctima, y luego modificar la solicitud de publicación con el ID de esa cuenta, los medios en cuestión se publicaban desde la cuenta de la víctima”.

Eso significa que únicamente bastaba con modificar el código que se transmite a Twitter Ads Studio para ejecutar este acto malintencionado sin tener que robar un tercer contenido o entrar en su cuenta sin las acreditaciones pertinentes. Algo sencillo, sobre todo para un hacker.

Con todo resuelto, tras dos días duro trabajo, Twitter recompensó al investigador con 7.560 dólares (6.763 euros). Una cifra notablemente inferior a lo que paga habitualmente por el reporte de errores en el programa Bug Bounty que suelen llegar, mínimo, a los 15.000 dólares (13.400 euros) por cada uno. Más, también, si tenemos en cuenta la gravedad del mismo, el cual, ya es historia.