1年以上もの間、ツイッターで悪意を持って作られたリンクをクリックするだけで、あなたのアカウントが乗っ取られ、他のユーザーのツイートやリツイート、「いいね!」、ブロックに使われてしまう可能性があった。この脆弱性は水曜日に公開され、すぐに修正された。
Twitterのバグバウンティプログラムから金銭的な報酬を得る代わりに、同社はこのユーザーを参加禁止にした。
このバグ報告を提出しましたが、報奨金を受け取れませんでした。このバグは1年前から存在していたと聞きました。これほど長い間修正されていないところを見ると、このバグは重要ではないようなので、公開しました。pic.twitter.com/R9X4k8KqMZ
– うさぎ (@rabbit_2333) 2023年12月12日
Twitterのアナリティクス・サブドメインに存在するXSSの脆弱性を利用して、攻撃者が第三者のプロフィールにアクセスし、そのアカウントのパスワードを変更する以外のほとんどすべての操作を行えるようにする方法を共有した。
このハッキングには、クロスサイトスクリプティング(XSS)とクロスサイトリクエストフォージェリ(CSRF)が利用されていた。XSS攻撃は、悪意のある行為者がウェブページに有害なスクリプトを注入することを可能にし、CSRFは、ユーザーがすでに認証されているウェブアプリ上でアクションを実行するようにユーザーをだます。
Twitterのバグはこの2つの手法を利用しており、特に危険なものでした。XSSを悪用することで、攻撃者はウェブのセキュリティ対策を回避し、ユーザーアカウントに不正アクセスすることができる。
この脆弱性のニュースが広まるにつれ、スマートコントラクト分析プラットフォームFuzz.Landの共同設立者であるChaofan Shouが、詳細を提供するために介入した。彼は、この未対処の脆弱性に基づく強力なエクスプロイト・ツールの構築がいかに容易であるかを明らかにし、バグの仕組みとそれが引き起こす可能性のある被害について詳細な説明を行った。
ᘝ TwitterのXSS + CSRF脆弱性の全容は以下の通りです。
細工されたリンクをクリックしたり、細工されたウェブページに移動したりすると、攻撃者にアカウントを乗っ取られます(投稿、いいね!、プロフィールの更新、アカウントの削除など)pic.twitter.com/MVJ1MvHt6H
– Chaofan Shou (@shoucccc) 2023年12月13日
Shouの記事に続いて、サイバーセキュリティ研究者のSam Sunがコメントし、エクスプロイトを回避する方法について実践的なアドバイスを提供した。
Sunは、プライバシーを重視するウェブブラウザBraveがこの悪用を防いだと指摘した。
この公開後、Xチームの対応は迅速だった。サンが確認したように、Xチームは数時間以内に脆弱性にパッチを当てた。しかし、潜在的な欠陥の重大性にもかかわらず、@rabbit_2333は発見に対して報われなかった。代わりに、バグ報奨金プログラムから追放されたことが通知された。
「ありがとう、ツイッター」と、このユーザーはツイッターの追放通知のスクリーンショットとともに書いている。
rabbit_2333がバグについて投稿するべきだったかどうかについてのコメントが殺到する中、このユーザーは、最初は適切なプロトコルに従ったと主張した。Xがその重大性と懸賞金の対象であることを否定したときに初めて、彼らは公表したのだと、そのユーザーは言った
。
このバグレポートを提出しましたが、報奨金を受け取れませんでした。このバグは1年前から存在していたと聞きました。これほど長い間修正されていないところを見ると、このバグは重要ではないようなので、公開しました。pic.twitter.com/R9X4k8KqMZ
– うさぎ (@rabbit_2333) 2023年12月12日
バグ報奨金プログラムの目的は、今回のようなインシデントを未然に防ぐことであり、セキュリティホールを発見した開発者に報奨金を与え、企業が修正する間は公表しないという合意を得ることである。
バグ報奨金プログラムは、ソフトウェア開発や暗号通貨、特にスマート・コントラクトを扱う際には一般的だ。このようなプログラムの運営は難しいかもしれないが、セキュリティ侵害の防止は一般的に努力に値すると考えられている。
ホワイトハットやバグ報奨プログラムは通常、脆弱性を秘匿することを要求する。しかし、ソフトウェア開発者がタイムリーに行動できるように、有効期限が設けられていることも多い。