Un utilisateur de Twitter découvre un bug critique qui aurait pu détruire votre compte X et est banni pour cela
Pendant plus d’un an, il suffirait de cliquer sur un lien malveillant sur Twitter et votre compte aurait pu être piraté et utilisé pour tweeter, retweeter, aimer ou bloquer d’autres utilisateurs. La vulnérabilité a été révélée publiquement mercredi, ce qui a conduit à une solution rapide et à une réprimande pour l’utilisateur qui l’a divulguée.
Au lieu de gagner une récompense monétaire grâce au programme de bug bounty de Twitter, la société a interdit à l’utilisateur de participer.
J’ai soumis ce rapport de bug et je n’ai pas reçu de prime. Vous m’avez dit que ce bug existait depuis un an. Voyant que vous ne l’avez pas corrigé depuis si longtemps, il semble que ce bug ne soit pas important, je l’ai donc rendu public. pic.twitter.com/R9X4k8KqMZ
– lapin (@rabbit_2333) 12 décembre 2023
La divulgation a été faite par l’utilisateur pseudonyme de Twitter @rabbit_2333, qui a expliqué comment une vulnérabilité XSS sur le sous-domaine d’analyse de Twitter pourrait être exploitée pour donner à un attaquant l’accès au profil d’un tiers et la possibilité de faire presque tout sauf changer le mot de passe du compte.
Le hack a utilisé le cross-site scripting (XSS) et la falsification de requêtes inter-sites (CSRF). Les attaques XSS permettent à des acteurs malveillants d’injecter des scripts nuisibles dans des pages Web, tandis que CSRF incite les utilisateurs à exécuter des actions sur une application Web où ils sont déjà authentifiés.
Le bug de Twitter a synthétisé ces deux méthodes, ce qui les rend particulièrement dangereuses. En exploitant XSS, les attaquants pourraient contourner les mesures de sécurité Web et obtenir un accès non autorisé aux comptes d’utilisateurs.
Alors que la nouvelle de cette vulnérabilité se répandait, Chaofan Shou, cofondateur de la plateforme d’analyse de contrats intelligents Fuzz.Lan, est intervenu pour fournir plus de détails. Il a révélé à quel point il était facile de créer un puissant outil d’exploitation basé sur cette vulnérabilité non corrigée, et a fourni une explication détaillée du fonctionnement du bug et des dommages potentiels qu’il pourrait causer.
😝 Voici la divulgation complète de la vulnérabilité Twitter XSS + CSRF.
Cliquer sur un lien contrefait ou accéder à des pages Web contrefaites permettrait aux attaquants de prendre le contrôle de votre compte (en publiant, en aimant, en mettant à jour votre profil, en supprimant votre compte, etc.) pic.twitter.com/MVJ1MvHt6H
– Chaofan Shou (@shoucccc) 13 décembre 2023
L’article de Shou a été suivi des commentaires du chercheur en cybersécurité Sam Sun, qui a fourni des conseils pratiques sur la manière d’éviter l’exploit et souligné le manque de sécurité, même pour ceux qui utilisent Twitter sur leur téléphone via des navigateurs.
Si vous utilisez Twitter sur votre téléphone dans votre navigateur, vous êtes vulnérable car vous ne pouvez pas installer d’extensions, alors déconnectez-vous simplement et utilisez l’application à la place (ou si vous êtes un puriste des applications, vivez simplement sans Twitter pendant un moment). quelques jours)
– samczsun (@samczsun) 13 décembre 2023
Sun a noté que le navigateur Web Brave, axé sur la confidentialité, aurait empêché l’exploit de fonctionner.
La réponse de Twitter a été rapide suite à cette divulgation publique. En quelques heures, ils ont corrigé la vulnérabilité, comme l’a confirmé Sun. Malgré la gravité potentielle de la faille, @rabbit_2333 n’a pas été récompensé pour cette découverte. Au lieu de cela, ils ont été informés qu’ils étaient bannis du programme de bug bounty.
« Merci Twitter », a écrit l’utilisateur, avec des captures d’écran de la notification d’interdiction de Twitter.
Alors que les commentaires affluaient sur la question de savoir si @rabbit_2333 aurait dû publier ou non sur le bug, l’utilisateur a affirmé qu’il avait d’abord suivi le protocole approprié. Ce n’est que lorsque Twitter a rejeté la gravité et l’éligibilité à une prime qu’ils ont été rendus publics, a déclaré l’utilisateur.
J’ai soumis ce rapport de bug et je n’ai pas reçu de prime. Vous m’avez dit que ce bug existait depuis un an. Voyant que vous ne l’avez pas corrigé depuis si longtemps, il semble que ce bug ne soit pas important, je l’ai donc rendu public. pic.twitter.com/R9X4k8KqMZ
– lapin (@rabbit_2333) 12 décembre 2023
Le but des programmes de bug bounty est de prévenir des incidents comme celui-ci, en incitant les développeurs à découvrir des failles de sécurité avec des récompenses et un accord pour ne pas les divulguer pendant que l’entreprise corrige les choses.
Les programmes de bug bounty sont courants dans le développement de logiciels, ainsi que dans le domaine des cryptomonnaies, en particulier lorsqu’il s’agit de contrats intelligents. Bien que l’exécution de tels programmes puisse s’avérer difficile, la prévention d’une faille de sécurité est généralement considérée comme en vaut la peine.
Les programmes d’incitation au chapeau blanc et aux bug bounty exigent généralement que les vulnérabilités restent confidentielles. Mais ils ont aussi souvent des dates d’expiration, pour garantir que le développeur du logiciel agisse en temps opportun.
Edité par Ryan Ozawa.