Mehr als ein Jahr lang genügte ein Klick auf einen böswillig erstellten Link auf Twitter, um Ihr Konto zu übernehmen und zum Tweeten, Retweeten, Liken oder Blockieren anderer Nutzer zu verwenden. Die Schwachstelle wurde am Mittwoch öffentlich gemacht, was zu einer schnellen Behebung führte – und zu einer Schelte für den Nutzer, der sie aufgedeckt hatte.
Anstatt eine Geldprämie von Twitters Bug Bounty Programm zu erhalten, hat das Unternehmen den Nutzer von der Teilnahme ausgeschlossen.
Ich habe diesen Fehler gemeldet und keine Prämie erhalten. Sie haben mir gesagt, dass dieser Fehler schon seit einem Jahr besteht. Da Sie ihn so lange nicht behoben haben, scheint dieser Fehler nicht wichtig zu sein, also habe ich ihn veröffentlicht. pic.twitter.com/R9X4k8KqMZ
– rabbit (@rabbit_2333) Dezember 12, 2023
Die Enthüllung stammt von dem pseudonymen Twitter-Benutzer @rabbit_2333, der mitteilte, wie eine XSS-Schwachstelle in der Twitter-Subdomain „Analytics“ ausgenutzt werden konnte, um einem Angreifer Zugriff auf das Profil eines Dritten zu geben und ihm die Möglichkeit zu geben, fast alles zu tun, außer das Passwort des Kontos zu ändern.
Der Hack nutzte Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF). XSS-Angriffe ermöglichen es böswilligen Akteuren, schädliche Skripte in Webseiten einzuschleusen, während CSRF Benutzer dazu verleitet, Aktionen in einer Webanwendung auszuführen, bei der sie bereits authentifiziert sind.
Der Twitter-Bug nutzte beide Methoden, was ihn besonders gefährlich macht. Durch Ausnutzung von XSS konnten Angreifer die Sicherheitsmaßnahmen im Web umgehen und sich unbefugten Zugriff auf Benutzerkonten verschaffen.
Als sich die Nachricht von dieser Sicherheitslücke verbreitete, meldete sich Chaofan Shou, Mitbegründer der Smart-Contract-Analyseplattform Fuzz.Land, zu Wort und lieferte weitere Details. Er enthüllte, wie einfach es war, ein leistungsfähiges Exploit-Tool zu erstellen, das auf dieser nicht behobenen Schwachstelle basierte, und lieferte eine detaillierte Erklärung der Funktionsweise des Bugs und der potenziellen Schäden, die er verursachen könnte.
Hier ist die vollständige Offenlegung der Twitter XSS + CSRF Schwachstelle.
Wenn Sie auf einen manipulierten Link klicken oder auf eine manipulierte Webseite gehen, können Angreifer Ihr Konto übernehmen (posten, liken, Ihr Profil aktualisieren, Ihr Konto löschen usw.) pic.twitter.com/MVJ1MvHt6H
– Chaofan Shou (@shoucccc) December 13, 2023
Auf Shous Bericht folgten Kommentare des Cybersecurity-Forschers Sam Sun, der praktische Ratschläge zur Vermeidung des Exploits gab und auf die mangelnde Sicherheit selbst für diejenigen hinwies, die Twitter auf ihren Telefonen über Browser nutzen.
Sun wies darauf hin, dass der datenschutzfreundliche Webbrowser Brave das Funktionieren des Exploits verhindert hätte.
Die Reaktion des X-Teams auf die Veröffentlichung der Sicherheitslücke erfolgte schnell. Innerhalb weniger Stunden hatte es die Sicherheitslücke gepatcht, wie Sun bestätigte. Trotz der potenziellen Schwere der Schwachstelle wurde @rabbit_2333 jedoch nicht für seine Entdeckung belohnt. Stattdessen wurde ihm mitgeteilt, dass er aus dem Bug Bounty-Programm ausgeschlossen wurde.
„Danke Twitter“, schrieb der Nutzer und fügte Screenshots der Verbotsmitteilung von Twitter bei.
In den Kommentaren zu der Frage, ob @rabbit_2333 den Fehler hätte posten sollen oder nicht, behauptete der Nutzer, dass er sich zunächst an das korrekte Protokoll gehalten habe. Erst als X den Schweregrad und die Berechtigung für ein Kopfgeld abgelehnt habe, seien sie an die Öffentlichkeit gegangen, so der Nutzer.
Ich habe diesen Fehlerbericht eingereicht und keine Prämie erhalten. Sie haben mir gesagt, dass dieser Fehler schon seit einem Jahr existiert. Da Sie ihn so lange nicht behoben haben, scheint dieser Fehler nicht wichtig zu sein, also habe ich ihn veröffentlicht. pic.twitter.com/R9X4k8KqMZ
– rabbit (@rabbit_2333) Dezember 12, 2023
Der Zweck von Bug-Bounty-Programmen ist es, Vorfälle wie diesen zu verhindern. Sie bieten Entwicklern einen Anreiz, Sicherheitslücken zu entdecken, und belohnen sie mit einer Vereinbarung, diese nicht zu veröffentlichen, während das Unternehmen die Fehler behebt.
Bug-Bounty-Programme sind in der Software-Entwicklung üblich, ebenso wie in der Kryptowährung, insbesondere im Umgang mit Smart Contracts. Obwohl die Durchführung solcher Programme eine Herausforderung sein kann, wird die Verhinderung eines Sicherheitsverstoßes in der Regel als die Mühe wert angesehen.
White-Hat- und Bug-Bounty-Programme verlangen in der Regel, dass Schwachstellen vertraulich behandelt werden. Sie haben aber auch oft ein Verfallsdatum, um sicherzustellen, dass der Softwareentwickler rechtzeitig handelt.