Controle remoto seguro para desktops convencionais e virtuais
Twitter corrigiu uma falha no seu serviço que permitia que usuários não autorizados para excluir todos os cartões de crédito de todas as contas, potencialmente aliviando a empresa de sua receita de publicidade, diz o pesquisador de segurança Ahmed Aboul-Ela.
Os ataques trabalhado através de uma vulnerabilidade de referência de objeto direto e envolveu a manipulação de sequências de números na URL.
Aboul-Ela disse ter descoberto duas falhas que, quando combinado com um script pode ser usado para matar todos os cartões de crédito armazenados de todas as contas.
"O impacto da vulnerabilidade era muito crítico, porque tudo o que é necessário para apagar cartões de crédito é o identificador do cartão de crédito, que consiste apenas de seis números, como" 220152 "," Aboul-Ela disse .
"Então, imagine um hacker de chapéu preto que poderia escrever um código Python simples e usar um loop for simples de seis números - ele poderia apagar todos os cartões de crédito de todas as contas do Twitter que irá resultar na suspensão de todas as campanhas de anúncios no Twitter e incorrerá grande perda financeira para Twitter. "
A primeira vulnerabilidade afetados cartões armazenados dentro 'id http://ift.tt/1o1XZNz] / payment_methods'. Aboul-Ela só tinha que mudar dois parâmetros em uma solicitação POST enviadas para o Twitter e envie o pedido manipulado para apagar um cartão.
A segunda falha envolveu uma opção "Ignorar" gerado quando os cartões inválidos foram inscritos que teve o efeito de apagar cartões. Os atacantes poderiam incrementar identificadores de cartões para apagar mais cartões de crédito.
Aboul-Ela recebeu US 2.800 $ no âmbito do programa de recompensas bug do Twitter que ele disse foi a mais alta já paga.
Twitter no início deste mês começou pagando para relatórios de bugs no âmbito de um programa lançado sob HackerOne. ®
Nenhum comentário:
Postar um comentário