Imagen: Twitter

Si pudieras publicar un tuit desde cualquier cuenta de Twitter, ¬Ņcu√°l elegir√≠as? Podr√≠as darte publicidad desde el perfil de Kim Kardashian, la madre de todos los influencers, o salir en todas las noticias con un tuit incendiario de Donald Trump. Incluso podr√≠as vengarte de aquel m√≠sero troll que una vez te humill√≥.

Lo incre√≠ble es que, hasta el 28 de febrero de este a√Īo, tu deseo pudo hacerse realidad. Un fallo en la plataforma de anuncios de Twitter permit√≠a a cualquier extra√Īo publicar sin permiso con la cuenta de otro usuario. Nadie se dio cuenta hasta que un investigador de seguridad encontr√≥ el problema y lo report√≥.

Advertisement

‚ÄúEl [investigador] descubri√≥ un fallo en el manejo de solicitudes de Twitter Ads Studio que permit√≠a a un atacante tuitear como cualquier usuario‚ÄĚ, explica Twitter en la plataforma de bug bounty HackerOne. ‚ÄúAl compartir medios con un usuario v√≠ctima y luego modificar la solicitud de publicaci√≥n con el ID de esa cuenta, los medios en cuesti√≥n se publicaban desde la cuenta de la v√≠ctima‚ÄĚ.

En otras palabras, el atacante solo ten√≠a que modificar el c√≥digo que se env√≠a a Twitter Ads Studio para publicar un tuit desde la cuenta de cualquier persona, sin necesidad de hackearle el perfil o conocer su contrase√Īa. El investigador descubri√≥ el bug en febrero tras pasar ‚Äúvarios d√≠as‚ÄĚ buscando fallos con los que reclamar una recompensa. Este era sorprendentemente ‚Äúf√°cil de explotar‚ÄĚ.

El hacker dio parte a Twitter el 25 de febrero y la compa√Ī√≠a lo recompens√≥ con 7560 d√≥lares, una cifra que se antoja baja para un problema tan significativo (el programa de bug bounty de Twitter ofrece hasta 15.000 d√≥lares por reporte). La compa√Ī√≠a tard√≥ solo tres d√≠as en parchear el fallo y hoy lo ha hecho p√ļblico.

Advertisement

[Twitter, Kedrisec vía Motherboard]