Rzekomo załatana luka pozwoliła publikować tweety bez logowania

Specjaliści od bezpieczeństwa wykryli lukę w zabezpieczeniach Twittera, która pozwala na publikowanie tweetów bez konieczności zalogowania do serwisu.


Rzekomo załatana luka pozwoliła publikować tweety bez logowania

Badacze zajmujący sie bezpieczeństwem odkryli nowy sposób na publikowanie tweetów bez konieczności uzyskania bezpośredniego dostępu do kont użytkowników. Dokonano tego bez logowania i użycia kodu uwierzytelniania. Wystarczyły wiadomości SMS.

Technika ta nie działa w przypadku każdego konta na Twitterze. Jedynie te konta, które obsługują wiadomości SMS są podatne na ten sposób ataku. Nadal nie wiadomo też, ile dokładnie użytkowników zostało dotkniętych atakiem.

Aby opublikować tweeta, badacze z Insinia Security musieli w pierwszej kolejności wyśledzić numery telefonów, które zostały połączone z kontami na Twitterze. Ponieważ już nie jeden raz dochodziło do wycieku danych użytkowników informacje te są często dostępne.

Po znalezieniu numeru telefonu, następnym krokiem było wykorzystanie narzędzia do spoofingu, dzięki któremu połączenia telefoniczne i wiadomości tekstowe wyglądają tak, jakby przychodziły od określonej osoby z danym numerem telefonu.

Pomimo tego, że Twitter wcześniej opublikował oświadczenie, w którym poinformował, że luka w zabezpieczeniach serwisu została usunięta, udało się przeprowadzić skuteczny atak. Dopiero po tym ataku Twitter faktycznie rozwiązał problem z zabezpieczeniami. Nie można jednak wykluczyć, iż istnieją inne poważne luki, które mogą zostać wykorzystane przez cyberprzestępców.


Świat technologii bez tajemnic. Polub i obserwuj nas na Facebooku. Jesteśmy także na Twitterze.