😊DigitalDanceDaily
Notícias Exibir por tópico AI? Jogos de Vídeo iPhone Android Apple Google Microsoft Hardware
😊DigitalDanceDaily

Contents

A descoberta de um bug crítico no Twitter leva ao banimento da conta

 included in News
   603 words   3 minutes 
Contents

Por um longo período de tempo, basta clicar em um hiperlink enganoso para que os cibercriminosos assumam o controle total das contas do Twitter pertencentes a indivíduos com nomes de usuário começando com “X”. Esta falha de segurança foi divulgada ao público após a sua resolução, mas ao contrário das práticas típicas em que são concedidas recompensas ao descobridor de tais vulnerabilidades, tal reconhecimento não foi concedido neste caso; em vez disso, nada mais do que uma leve advertência foi emitida.

Em vez de receber uma compensação financeira através da iniciativa de recompensa por bugs do Twitter, o indivíduo envolvido na denúncia do problema viu-se impedido de utilizar a plataforma. O usuário conhecido como “@rabbit\_2333” divulgou detalhes sobre uma potencial vulnerabilidade de cross-site scripting (XSS) que poderia permitir acesso não autorizado a um perfil de terceiros, concedendo ao invasor amplas permissões, com exceção de alterar a senha da conta da vítima..

Enviei um relatório de bug de boa fé, mas não recebi nenhuma recompensa conforme prometido. Parece que este problema persiste há um ano inteiro, apesar de ter sido informado da sua existência. À luz de tal negligência da sua parte, considero necessário tornar este assunto de conhecimento público para que todos possam ver.

coelho (@rabbit_2333) 12 de dezembro de 2023

À luz do fato de que estamos discutindo um aplicativo com o qual os indivíduos estabeleceram previamente suas credenciais, vale ressaltar que ambas as táticas tiveram destaque nesta intrusão, impactando potencialmente os usuários que acessam o Twitter através de um navegador da web em computadores ou dispositivos móveis.

/images/twitter_x_720.jpg

Após a divulgação desta falha de segurança, o cofundador da Fuzz.Land, Chaofan Shou, ofereceu mais informações. Ele demonstrou a simplicidade envolvida na criação de um instrumento de exploração eficaz que aproveite esta fraqueza não resolvida e apresentou um relato abrangente dos seus mecanismos e dos danos daí resultantes.

😝 Aqui está a divulgação completa da vulnerabilidade XSS \+ CSRF do Twitter.

Clicar em um link criado ou acessar algumas páginas da web criadas permitiria que invasores assumissem o controle de sua conta (postando, curtindo, atualizando seu perfil, excluindo sua conta, etc.) pic.twitter.com/MVJ1MvHt6H

Chaofan Shou (@shoucccc) 13 de dezembro de 2023

A resposta imediata da Equipe X ocorreu logo após a divulgação da vulnerabilidade ao público. Em um curto espaço de tempo, o problema foi resolvido de forma eficaz. Porém, contrariamente às expectativas, o descobridor, @rabbit\_2333, não recebeu qualquer recompensa pela sua contribuição. Pelo contrário, recebeu uma intimação de encerramento do programa de recompensas por bugs.

Após uma investigação mais aprofundada por nossa equipe técnica, descobrimos que o indivíduo envolvido divulgou involuntariamente informações confidenciais relacionadas à vulnerabilidade relatada de maneira imprudente. Isto resultou em opiniões diversas dentro da comunidade, com alguns membros defendendo o indivíduo, enquanto outros têm pontos de vista diferentes. A pessoa que está no centro desta controvérsia afirma que aderiu aos procedimentos apropriados desde o início; no entanto, eles foram solicitados a compartilhar os detalhes publicamente depois que a organização rejeitou a gravidade e a elegibilidade da recompensa.

Os programas de recompensa por bugs servem como um mecanismo eficaz para desencorajar incidentes como aqueles que podem surgir quando os desenvolvedores são motivados por incentivos financeiros, como recompensas monetárias, para descobrir vulnerabilidades de segurança dentro de um sistema ou rede. Além disso, estes programas normalmente exigem que os participantes mantenham a confidencialidade relativamente aos problemas descobertos até que a empresa relevante tenha tido oportunidade suficiente para os resolver, garantindo assim que as informações sensíveis permanecem protegidas durante o processo de remediação.

*️⃣ Link da fonte:

pic.twitter.com/R9X4k8KqMZ , 12 de dezembro de 2023 , explicação detalhada , pic.twitter.com/MVJ1MvHt6H , 13 de dezembro de 2023,

Updated on 2023-12-14
Back | Home