Разработчики Twitter сообщили, что 15 ноября 2018 года была зафиксирована атака на сервис. Неизвестные лица обнаружили и эксплуатировали баг в форме обращения в поддержку. Запросы, которые направляли уязвимой форме, исходили от множества IP-адресов, в основном принадлежащих провайдерам в Китае и Саудовской Аравии.

Проблемная форма предназначается для связи с поддержкой Twitter. Через нее пользователи могут уведомить разработчиков социальной сети о проблемах. Как оказалось, из-за бага через такую форму можно было узнать заблокирован ли конкретный аккаунт, а также узнать код страны привязанного к нему телефонного номера. Вторая проблема фактически позволяла третьим сторонам установить страну пользователя и соотнести его учетную запись с определенной географической зоной.

«Пока мы не можем с уверенностью назвать цель и источник данной атаки, но возможно, что некоторые из IP-адресов имели связь с правительственными хакерскими группами», — пишут представители социальной сети.

Данные о количестве пострадавших пользователей не раскрываются, но в компании уверяют, что пользователей, оказавшихся в группе риска, уже начали уведомлять о случившемся, а к расследованию инцидента подключились правоохранительные органы. Кроме того, в официальном заявлении Twitter сказано, что баг, которым пользовались неизвестные, был устранен 16 ноября 2018 года, то есть спустя день после обнаружения.

UPD.

Издание TechCrunch сообщило, что ИБ-специалист Пирзада Фаваз Ахмад Куреши (Peerzada Fawaz Ahmad Qureshi) обнаружил эту проблему еще два года тому назад, о чем уведомил разработчиков через HackerOne. По какой-то причине тогда представители Twitter не сочли уязвимость значимой и не стали ничего предпринимать.

1 комментарий

  1. devbutch

    19.12.2018 at 10:15

    Чел не вывез диспут на hackerone и решил добиться эпрува другим путём)

Оставить мнение