Уязвимость в Twitter позволяет отключить настройки безопасности
Речь идет о логической ошибке в коде, которая раскрывает номер мобильного телефона, привязанный к учетной записи.
Специалист в области кибербезопасности Ричард де Вер (Richard De Vere) раскрыл информацию об уязвимости в социальной платформе Twitter, предоставляющей возможность отправлять сообщения с чужих учетных записей, публиковать изображения или видео, а также отключать функции безопасности, в частности, двухфакторную аутентификацию. Как пояснил эксперт изданию Computerweekly, речь идет о логической ошибке в коде, которая раскрывает номер мобильного телефона, привязанный к учетной записи. Зная номер телефона, злоумышленник может производить различные действия, в том числе отключить двухфакторную аутентификацию, и полностью перехватить контроль над аккаунтом. Де Вер продемонстрировал журналистам процесс эксплуатации уязвимости, однако попросил не раскрывать подробности, поскольку проблема еще не исправлена. Он полагает, что некоторым мошенникам уже известно об ошибке, и они активно пользуются ею в рамках своих схем.
По мнению де Вера, устранение проблемы потребует от Twitter значительных усилий, поскольку компании придется отключить важную часть функционала, связанную с ошибкой.
Напомним, не далее как на минувшей неделе Twitter исправила ошибку, раскрывавшую личную переписку пользователей сторонним лицам. Проблема проявлялась при использовании приложений, запрашивающих PIN-код для завершения процесса авторизации, вместо применения протокола Oauth. В результате, некоторые разрешения, например, на доступ к личным сообщениям, оставались скрытыми для пользователей Twitter.