Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Twitter dicht lek dat aanvaller vanaf ander account liet posten

Door , 25 reacties

Twitter heeft een lek gedicht, waarmee een aanvaller tweets vanaf een ander account kon plaatsen. De kwetsbaarheid werd ontdekt door een beveiligingsonderzoeker die zichzelf Kedrisch noemt. Hij ontving een beloning van 7560 dollar, omgerekend ongeveer 6750 euro.

Twitter logo nieuw fpaKedrisch schrijft op zijn eigen blog dat hij de kwetsbaarheid vond in het kader van een bug bounty-programma en dat deze op 28 februari is gedicht, twee dagen na de ontdekking. Zijn methode maakte gebruik van een onderdeel van Twitter dat bereikbaar is via ads.twitter.com. Daar kan een gebruiker mediabestanden uploaden, zoals afbeeldingen en video's.

Hij kwam erachter dat het mogelijk was om de bestanden van daaruit te tweeten of te delen met een andere Twitter-gebruiker. Door aanvankelijk de eerstgenoemde mogelijkheid te onderzoeken, kwam hij erachter dat het mogelijk was om bepaalde id's in een onderschept postverzoek aan te passen. Door deze techniek toe te passen op de deelfunctie, kon hij ervoor zorgen dat degene met wie hij het bestand deelde, werd gezien als de eigenaar ervan.

Twitter meldt dat er meteen na triage een patch is uitgebracht en dat er geen aanwijzingen zijn dat het lek door iemand anders dan de ontdekker is gebruikt.

Door Sander van Voorst

Nieuwsredacteur

24-05-2017 • 11:21

25 Linkedin Google+

Reacties (25)

Wijzig sortering
Voor het vinden van een dergelijk hack/lek zou ik zelfs verwachten dat er meer betaald zou worden.
Het gaat namelijk wel om iets behoorlijk kritisch. Een flinke beledigende post op het account van mister Trump kan bijvoorbeeld politiek nogal wat betekenen.

Daarnaast is het ontzettend knap dat mensen zulke lekken vinden. Vaak is het al lastig - met de broncode - om zulke lekken boven water te krijgen.
Vind jij 7560 dollar niet een behoorlijk bedrag? Daar zou ik toch wel leuke dingen mee kunnen doen hoor.
6750 euro is een leuk bedrag, mag eigenlijk ook wel voor z'n grote organisatie.

Zelf ben ik wel een beetje actief met het kijken of ik lekken kan vinden in bedrijven, wat mij opviel is dat je op Nederlands gebied echt blij mag zijn als je een euro of 10 krijgt.

Voor melden die ik heb gedaan omtrent overheidswebsites heb ik vooral t-shirts ontvangen met leuke teksten er op, Transip een goody pakket.

Waar ik echter wel verbaast over ben is dat ik voor het melden van een XSS vurn in ABN AMRO 25 euro had gekregen en voor het melden van een aantal XSS/SQLI vurn's in Coolblue bij elkaar maar z'n 60 euro had gekregen...

Vooral de gesprekken met een boze CEO zijn leuk, dat is me meer waard dan geld :)

[Reactie gewijzigd door alexdebeer1996 op 24 mei 2017 12:15]

Niet iedere webshop/bedrijf heeft natuurlijk geld als water voor dit soort dingen ;)
Het kost de bedrijven uiteindelijk veel meer geld wanneer een lek misbruikt wordt :)
Dat hangt natuurlijk volledig van het bedrijf, het lek en de data die er achter dit lek schuil gaat af.
In een ideale wereld zouden internetbedrijven dit wel zien als één van hun prioriteiten. De keuze tussen een fatsoenlijk bedrag voor de onderzoeker of de schade/gezichtsverlies oplopen als een lek in je website terecht komt op louche websites zou een zeer simpele afweging moeten zijn.
Aangezien Coolblue zijn hele bedrijfsvoering bouwt op online verhandeling lijkt mij juist XSS/SQLi vuln's aanpakken een prio nr.1 in de devlijn.
Tsja, voor dat soort fooien krijg je misschien meer de neiging om eens te gaan kijken of een ander dit wellicht wel op waarde schat... :X
Vele jaren geleden ontdekt dat een website een stacktrace gaf op moment in de browser de cookies waren disabled. Cookies enabled en de website werkt prima. Dat heeft me destijds een digitaal Nederlands-Engels woorden boek a 80-100 euro opgeleverd. Dat werd sportief opgevat.
Wat voor gesprekken met boze CEO's zijn dat dan? Hoe gaan die?
Een beetje laat, maar toch een reactie:
Nee, ik vind dat niet een behoorlijk bedrag. Wanneer je professioneel bezig bent op dit werkvlak, dan kost je qua inhuur zeker boven de 80 euro per uur. Dan kun je iets minder dan 100 uur steken in het vinden van een kwetsbaarheid.
Klinkt oke toch?

Maar als je je bedenkt dat er misschien wel 1000 mensen op zoek zijn geweest naar kwetsbaarheden en dat twitter misschien maar 50.000 euro uitgekeerd heeft voor het vinden van lekken, dan is dit een zeer goedkope oplossing voor een bedrijf om zo zijn systemen door te lichten. Je wordt bovendien alleen betaald wanneer je succes hebt, terwijl een onderzoeksbedrijf normaal ook gewoon betaald wordt voor een raport waarin vermeld staat dat de beveiliging op orde is en wat ze hebben getest.

Daarom is dit bijvoorbeeld een reden waarom ik niet intensief meedoe met Kaggle.com. Op die site staan wedstrijden op het gebied van datascience. Gemiddeld genomen krijgt alleen de top 3 een beloning voor hun werk, terwijl er soms wel 1000 deelnemende teams zijn die er vele uren in steken. Dat is een erg goedkope manier om aan je datascience te komen als bedrijf. Duizenden mensen die tientallen uren werk verrichten en je betaald enkel de beste een paar duizend euro.
Wat wij ervan vinden maakt weinig uit tegenover wat het waard is voor het bedrijf en de tijd die de onderzoeker er heeft in gestopt. Voor een bedrijf als Twitter en het soort bug is dit belachelijk weinig. Tel daarbij de tijd op dat die onderzoeken hier heeft in gestopt en het wordt nog belachelijker.
Ze hadden er ook voor kunnen kiezen om helemaal niks te geven.
Je hoort een gegeven paard pony niet in de bek te kijken! ;-)
" Een flinke beledigende post op het account van mister Trump kan bijvoorbeeld politiek nogal wat betekenen"

die valt niet op tussen alle andere flink beledigende posts door Mr Dumb zelf gepost
Het is niet alleen irrelevant, het kan ook simpel opgevat worden als flamebait. Prima moderatie dus
Zomaar een ID aan kunnen passen in de POST request zonder verdere verificatie? Dat is dan best knullig...
Hoewel ik het met je eens ben komen dit soort bugs heel vaak voor, vooral bij kleine ondernemingen of eenmanszaken. Bedenk je dat deze check vaak op honderden plaatsen moet gebeuren en dat het al vrij snel ertussen glipt bij een van die plekken.

Thank god for frameworks.....
Daar heb je niet per sé frameworks maar meer gezond programmeerverstand voor nodig.
Dit kan je met frameworks net zo hard verkloten.
ja tuurlijk wel, maar het idee van frameworks/middleware of whatever tool je maar gebruikt, de fout wel minder snel gemaakt is.

In mijn huidige setting komen dit soort fouten zelden voor, simpelweg omdat je een schop krijgt van een de tools (of in development of op een ander moment in de buildchain).
Tuurlijk blijft logisch nadenken een belangrijk punt en natuurlijk kun je zonder, maar fouten worden nu eenmaal gemaakt.
Sure, maar bij Twitter? Die weten beter zou je denken.
Uiteindelijk zijn dit ook maar mensen. Ik snap je punt hoor en ik ben het ook met je eens, maar overal worden fouten gemaakt en aangezien software door mensen is gemaakt, bevat het fouten.

Daarom was ook mijn laatste zin; vaak zijn middleware/frameworks in werking die juist dit soort dingen moeten voorkomen. Natuurlijk kunnen deze ook fouten bevatten maar het voordeel van zoiets is, is dat als je het probleem oplost het gelijk overal opgelost is :)
Het is dat ik je laatste regel ook las, ivm het er wel eens tussenuit glipt. Daar zijn frameworks namelijk inderdaad voor; gemak en consistentie. En zo niet, zorg je dat zulke aanvragen door een vaste top laag heen gaan waar de verificatie plaatsvind op elk verzoek waar dan ook gedefinieerd.
Precies! Ik mag eigenlijk toch wel hopen dat ze dat overal toepassen, maar blijkbaar niet.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*