Per più di un anno è bastato cliccare su un link maligno su Twitter per impossessarsi del vostro account e usarlo per twittare, retwittare, mettere like o bloccare altri utenti. La vulnerabilità è stata rivelata pubblicamente mercoledì e ha portato a una rapida soluzione e a un rimprovero per l’utente che l’ha rivelata.
Invece di guadagnare una ricompensa in denaro dal programma bug bounty di Twitter, l’azienda ha vietato all’utente di partecipare.
Ho inviato questa segnalazione di bug e non ho ricevuto una ricompensa. Mi avete detto che questo bug esiste da un anno. Visto che non l’avete risolto per così tanto tempo, sembra che questo bug non sia importante, quindi l’ho reso pubblico. pic.twitter.com/R9X4k8KqMZ
– rabbit (@rabbit_2333) December 12, 2023
La divulgazione è stata fatta dall’utente pseudonimo di Twitter @rabbit_2333, che ha condiviso come una vulnerabilità XSS sul sottodominio analytics di Twitter possa essere sfruttata per dare a un aggressore l’accesso al profilo di una terza parte e la possibilità di fare quasi tutto, tranne cambiare la password dell’account.
L’hack si è avvalso di cross-site scripting (XSS) e cross-site request forgery (CSRF). Gli attacchi XSS consentono ai malintenzionati di iniettare script dannosi nelle pagine web, mentre il CSRF inganna gli utenti inducendoli a eseguire azioni su un’applicazione web in cui sono già autenticati.
Il bug di Twitter ha utilizzato entrambi questi metodi, rendendolo particolarmente pericoloso. Sfruttando l’XSS, gli aggressori potrebbero aggirare le misure di sicurezza del Web e ottenere un accesso non autorizzato agli account degli utenti.
Quando la notizia di questa vulnerabilità si è diffusa, Chaofan Shou, cofondatore della piattaforma di analisi dei contratti intelligenti Fuzz.Land, è intervenuto per fornire ulteriori dettagli. Ha rivelato quanto sia stato facile costruire un potente strumento di exploit basato su questa vulnerabilità non risolta e ha fornito una spiegazione dettagliata del funzionamento del bug e dei potenziali danni che potrebbe causare.
Ecco la divulgazione completa della vulnerabilità XSS + CSRF di Twitter.
Facendo clic su un link artigianale o accedendo ad alcune pagine web artigianali, gli aggressori potrebbero prendere il controllo dell’account (pubblicando, apprezzando, aggiornando il profilo, eliminando l’account, ecc.) pic.twitter.com/MVJ1MvHt6H
– Chaofan Shou (@shoucc) December 13, 2023
Il testo di Shou è stato seguito dai commenti del ricercatore di cybersicurezza Sam Sun, che ha fornito consigli pratici su come evitare l’exploit, sottolineando la mancanza di sicurezza anche per coloro che utilizzano Twitter sul proprio telefono tramite browser.
Sun ha fatto notare che il browser web Brave, incentrato sulla privacy, avrebbe impedito il funzionamento dell’exploit.
La risposta del team di X è stata rapida dopo questa rivelazione pubblica. Nel giro di poche ore è stata applicata una patch alla vulnerabilità, come confermato da Sun. Nonostante la potenziale gravità della falla, tuttavia, @rabbit_2333 non è stato premiato per la scoperta. Al contrario, gli è stato comunicato che era stato bandito dal programma bug bounty.
“Grazie a Twitter”, ha scritto l’utente, con tanto di screenshot della notifica di ban di Twitter.
Mentre i commenti si sono moltiplicati per stabilire se @rabbit_2333 avrebbe dovuto postare sul bug o meno, l’utente ha affermato che all’inizio aveva seguito il protocollo corretto. È stato solo quando X ha scartato la gravità del problema e la sua idoneità a ricevere una taglia, che l’utente ha reso pubblica la cosa.
Ho inviato questa segnalazione di bug e non ho ricevuto una taglia. Mi avete detto che questo bug esiste da un anno. Visto che non l’avete risolto per così tanto tempo, sembra che questo bug non sia importante, quindi l’ho reso pubblico. pic.twitter.com/R9X4k8KqMZ
– rabbit (@rabbit_2333) December 12, 2023
Lo scopo dei programmi di bug bounty è quello di prevenire incidenti come questo, incentivando gli sviluppatori a scoprire falle di sicurezza con ricompense e con l’accordo di non divulgarle mentre l’azienda le risolve.
I programmi di bug bounty sono comuni nello sviluppo di software e nelle criptovalute, in particolare quando si tratta di contratti intelligenti. Anche se la gestione di questi programmi può essere impegnativa, la prevenzione di una violazione della sicurezza è generalmente considerata degna di nota.
I programmi di incentivazione white-hat e bug-bounty richiedono in genere che le vulnerabilità siano mantenute riservate. Ma spesso hanno anche delle date di scadenza, per garantire che lo sviluppatore di software agisca in modo tempestivo.
