Κυριακή, 12 Ιουνίου 2016

EXCLUSIVE: Εντοπίστηκε κρίσιμη αδυναμία στο Twitter (?)

 
Η κρίσιμη αδυναμία φαίνεται να επηρεάζει το Twitter στα δομικά του χαρακτηριστικά (core) και να επιτρέπει απομακρυσμένη εκτέλεση εντολών (remote execution) !!!
twitter_Hacked Twitter
Τις τελευταίες ημέρες έχουν γνωστοποιηθεί στο ευρύ κοινό περιπτώσεις που έχουν άμεση σχέση με την ασφάλεια στο Twitter.
Συγκεκριμένα θυμίζουμε ότι το προφίλ του ιδρυτή του Facebook, Mark Zuckerberg έπεσε θύμα επίθεσης hackers  ενώ την ίδια στιγμή στο Darknet κυκλοφορούν πλήρεις βάσεις δεδομένων με κωδικούς χρηστών του Twitter στην τιμή των 10 Bitcoins.Ειδικοί ασφαλείας και μέσα ενημέρωσης έσπευσαν να αναφέρουν ότι η επίθεση δεν “έπληξε” το Twitter αλλά ότι κάποιο εξελιγμένο Malware με δυνατότητα υποκλοπής κωδικών υπέκλεψε πληροφορίες χρηστών όπως usernames και passwords προσβασήςΕίναι όμως πράγματι έτσι ή κάτι πιο σοβαρό συμβαίνει;
Russian-hackers Twitter
Πρίν περίπου 24 ώρες, χρήστης της πλέον γνωστής πλατφόρμας εντοπισμού σφαλμάτων ασφάλειας επι αμοιβή (Πλατφόρμα bug bountyHackerone, έλαβε από το Twitter ενα ύπερογκο ποσό ως αμοιβή για τον εντοπισμό σφάλματος!
twitter.bounty Twitter
Συγκεκριμένα φαίνεται ότι ο χρήστης με το ψευδώνυμο filedescriptor έλαβε το ποσό των 15,120$ (!). Εκτιμούμε ότι από το Twitter δεν ήταν επιθυμητό να ανακοινωθούν περισσότερες λεπτομέρειες για την συγκεκριμένη αδυναμία και όπως μπορούμε να δούμε και κατά την ανακοίνωση της πληρωμής οι λεπτομέρειες έχουν πλήρως αποκρυφθεί, ακόμα και ο τίτλος της αδυναμίας!
filedescriptor Twitter
Αν διαβάσει κάποιος προσεκτικά το πρόγραμμα ανταμοιβών του Twitter στην πλατφόρμα του Hackerone είναι σαφές ότι αυτό το ύψος του ποσού αφορά ανταμοιβή για αδυναμίες που επιτρέπουν στον επιτιθέμενο την απομακρυσμένη εκτέλεση εντολών (remote code execution) που επηρεάζει το Core Twitter. Δείτε χαρακτηριστικά τον σχετικό πίνακα:
twitter.program TwitterΟ χρήστης filedescriptor είναι από το Hong Kong και είναι ένας απο τους πλέον καταξιωμένους και επιτυχημένους σε ,παγκόσμιο επίπεδο, “Κυνηγούς αδυναμιών” (bug bounty hunters). Το αποδεδειγμένο track record του στον εντοπισμό σοβαρότατων αδυναμιών σε εταιρείες κολοσσούς (όπως το Twitter), τον κατατάσει με διαφορά μεταξύ των καλύτερων “ηθικών Hackers” παγκοσμίως!
filedescriptor.profile Twitter
Μέχρι (εαν και εφόσον) υπάρξει επίσημη ανακοίνωση από το Twitter, δεν μπορούμε να είμαστε ΑΠΟΛΥΤΩΣ σίγουροι για το είδος της αδυναμίας που εντοπίστηκε και την ακριβή του επίλυση. Τα συνοδά στοιχεία όμως που συλλέξαμε, αποδεικνύουν ότι μια σοβαρότατη αδυναμία υπήρχε στο Twitter μέχρι και πριν 24 ώρες και που επιδιορθώθηκε πιθανόταταμετά την υπόδειξη του filedescriptor.
Προτείνουμε στους αναγνώστες μας-χρήστες του Twitter να αλλάξουν ΑΜΕΣΑ τον κωδικό πρόσβασης ΚΑΙ να ενεργοποιήσουν την λειτουργία διπλής πιστοποίησης (Two factor).
Τι συμβαίνει όμως αν αυτή η αδυναμία είχε εντοπιστεί και προγενέστερα απο κακόβολους χρήστες; Μήπως τα τελευταία κρούσματα διαρροών στο Twitter τελικά σχετίζονται με την αδυναμία που εντοπίστηκε & επιδιορθώθηκε, όπως όλα δείχουν πρίν 24 ώρες; Η ισχύει το σενάριο της διασποράς Malware σε χρήστες;
https://www.secnews.gr