'严肃的'Twitter缺陷让黑客派遣了其他人的账户

英国安全研究员在Twitter中发现了一个严重的缺陷，允许任何人知道漏洞，从其他用户的帐户发送推文。

Richard de Vere来自伦理喧嚣公司的反社会工程师，每周告诉计算机，他在几分钟内完成了如何利用缺陷。

“这不是一个复杂的黑客，它是代码中的逻辑缺陷。”他说。

缺陷公开了具有与其相关联的移动电话号码的任何帐户。通过了解该号码，攻击者能够发布推文，转发，发送直接邮件或发布图像和视频。根据De Vere的说法，黑客甚至可以关闭Twitter的双因素认证功能，这意味着用户的登录和密码详细信息的了解将能够完全控制帐户。

De Vere每周展示到计算机。我们分享了与@ComputerWeekly Twitter帐户相关联的手机号码。几分钟之内，我们的书面许可，De Vere发布了一个关于帐户的推文（见下文），说：“感谢您允许我们展示攻击，”在添加的图像上方，“谢谢@ComputerWeekly，允许我们将此帐户发布为PoC [概念证明]。”我们随后删除了推文。

de Vere报告了涉及Hackerone的详细信息，该公司运行Twitter的Bug Bounty程序以通知漏洞。他说他不寻求付款，但这是报告这个问题的唯一途径。

他每周向计算机解释一下，在一个高级摘要中，如何让人成为可能，但要求我们不要透露这些信息，以担心希望利用缺陷的恶意演员。然而，De Vere表示，他认为一些黑客可能已经了解了这个错误，并将其用作Twitter上的诈骗的一部分，其中高调帐户似乎对假加密货币性方案的推文促销促进了。

Security Consultancy Byte的首席执行官Ed Tucker和HM收入和海关的前任IT安全负责人将该缺陷描述为“严重漏洞”。

“想象一下，如果说，你使用了这个漏洞的10,000个电话号码，然后写了关于某事的推文，也许是比特币诈骗，或者可能是一些假新闻。然后，与Twitter帐户相关联的每个电话号码都会发布相同的消息，“他说。

“想象一下，你能做什么，或者用之前完成了什么。你只会注意到自己的帐户上的一些奇怪的行为，而不是所有的人都这样做。“

Tucker赞扬了反社会工程师来曝光问题，指出没有办法在不经过Hackerone报告过程的情况下向Twitter提供错误的细节。

De Vere表示，他预计推特与问题斗争，因为它可能意味着在全球范围内切断其与该错误相关的重要部分。但他也是自信的推特将解决缺陷。

“你知道它对自己的网站实际找到解决方案是多么令人沮丧 - 但它没有作为标准执行的？这是政策的经典案例比现实世界实施更好。他说，IT安全团队曾经痴迷于社交工程往往的经常攻击，“他说。

黑客以前通过扮演Entrepreneur Elon Musk和劫持高调推特账户来占用巨大的麝香，以促进假加密或比特币方案的刺激麝香，以前在Cryptocurrency Scams中占据了数千美元。