Twitter dicht lek dat aanvaller vanaf ander account liet posten

Twitter heeft een lek gedicht, waarmee een aanvaller tweets vanaf een ander account kon plaatsen. De kwetsbaarheid werd ontdekt door een beveiligingsonderzoeker die zichzelf Kedrisch noemt. Hij ontving een beloning van 7560 dollar, omgerekend ongeveer 6750 euro.

Twitter logo nieuw fpaKedrisch schrijft op zijn eigen blog dat hij de kwetsbaarheid vond in het kader van een bug bounty-programma en dat deze op 28 februari is gedicht, twee dagen na de ontdekking. Zijn methode maakte gebruik van een onderdeel van Twitter dat bereikbaar is via ads.twitter.com. Daar kan een gebruiker mediabestanden uploaden, zoals afbeeldingen en video's.

Hij kwam erachter dat het mogelijk was om de bestanden van daaruit te tweeten of te delen met een andere Twitter-gebruiker. Door aanvankelijk de eerstgenoemde mogelijkheid te onderzoeken, kwam hij erachter dat het mogelijk was om bepaalde id's in een onderschept postverzoek aan te passen. Door deze techniek toe te passen op de deelfunctie, kon hij ervoor zorgen dat degene met wie hij het bestand deelde, werd gezien als de eigenaar ervan.

Twitter meldt dat er meteen na triage een patch is uitgebracht en dat er geen aanwijzingen zijn dat het lek door iemand anders dan de ontdekker is gebruikt.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 24-05-2017 11:21 25

24-05-2017 • 11:21

25

Lees meer

Twitter introduceert filter voor Direct Messages van onbekenden
Twitter introduceert filter voor Direct Messages van onbekenden Nieuws van 31 mei 2017
UT-studente ontwikkelt model dat gehackte Twitteraccounts detecteert
UT-studente ontwikkelt model dat gehackte Twitteraccounts detecteert Nieuws van 1 mei 2017
Onderzoek: 9 tot 15 procent van maandelijks actieve Twitteraccounts zijn bots
Onderzoek: 9 tot 15 procent van maandelijks actieve Twitteraccounts zijn bots Nieuws van 12 maart 2017
Spammers dringen binnen op Twitter-accounts van bedrijven
Spammers dringen binnen op Twitter-accounts van bedrijven Nieuws van 19 november 2016
Meer producten en artikelen
Netwerk en systeembeheer Security Twitter

Reacties (25)

-Moderatie-faq
25
24
13
2
0
6
Wijzig sortering

Sorteer op:

Weergave:
Kaw 24 mei 2017 11:38
Voor het vinden van een dergelijk hack/lek zou ik zelfs verwachten dat er meer betaald zou worden.
Het gaat namelijk wel om iets behoorlijk kritisch. Een flinke beledigende post op het account van mister Trump kan bijvoorbeeld politiek nogal wat betekenen.

Daarnaast is het ontzettend knap dat mensen zulke lekken vinden. Vaak is het al lastig - met de broncode - om zulke lekken boven water te krijgen.
Webgnome @Kaw24 mei 2017 11:46
Vind jij 7560 dollar niet een behoorlijk bedrag? Daar zou ik toch wel leuke dingen mee kunnen doen hoor.
Verwijderd @Webgnome24 mei 2017 11:53
6750 euro is een leuk bedrag, mag eigenlijk ook wel voor z'n grote organisatie.

Zelf ben ik wel een beetje actief met het kijken of ik lekken kan vinden in bedrijven, wat mij opviel is dat je op Nederlands gebied echt blij mag zijn als je een euro of 10 krijgt.

Voor melden die ik heb gedaan omtrent overheidswebsites heb ik vooral t-shirts ontvangen met leuke teksten er op, Transip een goody pakket.

Waar ik echter wel verbaast over ben is dat ik voor het melden van een XSS vurn in ABN AMRO 25 euro had gekregen en voor het melden van een aantal XSS/SQLI vurn's in Coolblue bij elkaar maar z'n 60 euro had gekregen...

Vooral de gesprekken met een boze CEO zijn leuk, dat is me meer waard dan geld :)

[Reactie gewijzigd door Verwijderd op 25 juli 2024 10:26]

Webgnome @Verwijderd24 mei 2017 11:55
Niet iedere webshop/bedrijf heeft natuurlijk geld als water voor dit soort dingen ;)
Devaqto @Webgnome24 mei 2017 13:02
Het kost de bedrijven uiteindelijk veel meer geld wanneer een lek misbruikt wordt :)
Webgnome @Devaqto24 mei 2017 13:20
Dat hangt natuurlijk volledig van het bedrijf, het lek en de data die er achter dit lek schuil gaat af.
bcome @Webgnome24 mei 2017 12:46
In een ideale wereld zouden internetbedrijven dit wel zien als één van hun prioriteiten. De keuze tussen een fatsoenlijk bedrag voor de onderzoeker of de schade/gezichtsverlies oplopen als een lek in je website terecht komt op louche websites zou een zeer simpele afweging moeten zijn.
supersnathan94 @Webgnome24 mei 2017 16:00
Aangezien Coolblue zijn hele bedrijfsvoering bouwt op online verhandeling lijkt mij juist XSS/SQLi vuln's aanpakken een prio nr.1 in de devlijn.
ATS @Verwijderd24 mei 2017 13:05
Tsja, voor dat soort fooien krijg je misschien meer de neiging om eens te gaan kijken of een ander dit wellicht wel op waarde schat... :X
Atlantis1995 @Verwijderd24 mei 2017 13:38
Vele jaren geleden ontdekt dat een website een stacktrace gaf op moment in de browser de cookies waren disabled. Cookies enabled en de website werkt prima. Dat heeft me destijds een digitaal Nederlands-Engels woorden boek a 80-100 euro opgeleverd. Dat werd sportief opgevat.
Verwijderd @Verwijderd24 mei 2017 20:43
Wat voor gesprekken met boze CEO's zijn dat dan? Hoe gaan die?
Kaw @Webgnome24 mei 2017 15:09
Een beetje laat, maar toch een reactie:
Nee, ik vind dat niet een behoorlijk bedrag. Wanneer je professioneel bezig bent op dit werkvlak, dan kost je qua inhuur zeker boven de 80 euro per uur. Dan kun je iets minder dan 100 uur steken in het vinden van een kwetsbaarheid.
Klinkt oke toch?

Maar als je je bedenkt dat er misschien wel 1000 mensen op zoek zijn geweest naar kwetsbaarheden en dat twitter misschien maar 50.000 euro uitgekeerd heeft voor het vinden van lekken, dan is dit een zeer goedkope oplossing voor een bedrijf om zo zijn systemen door te lichten. Je wordt bovendien alleen betaald wanneer je succes hebt, terwijl een onderzoeksbedrijf normaal ook gewoon betaald wordt voor een raport waarin vermeld staat dat de beveiliging op orde is en wat ze hebben getest.

Daarom is dit bijvoorbeeld een reden waarom ik niet intensief meedoe met Kaggle.com. Op die site staan wedstrijden op het gebied van datascience. Gemiddeld genomen krijgt alleen de top 3 een beloning voor hun werk, terwijl er soms wel 1000 deelnemende teams zijn die er vele uren in steken. Dat is een erg goedkope manier om aan je datascience te komen als bedrijf. Duizenden mensen die tientallen uren werk verrichten en je betaald enkel de beste een paar duizend euro.
THA_ErAsEr @Webgnome24 mei 2017 13:18
Wat wij ervan vinden maakt weinig uit tegenover wat het waard is voor het bedrijf en de tijd die de onderzoeker er heeft in gestopt. Voor een bedrijf als Twitter en het soort bug is dit belachelijk weinig. Tel daarbij de tijd op dat die onderzoeken hier heeft in gestopt en het wordt nog belachelijker.
Bergen @Kaw24 mei 2017 16:07
Ze hadden er ook voor kunnen kiezen om helemaal niks te geven.
Je hoort een gegeven paard pony niet in de bek te kijken! ;-)
bartvincke @Kaw24 mei 2017 11:45
" Een flinke beledigende post op het account van mister Trump kan bijvoorbeeld politiek nogal wat betekenen"

die valt niet op tussen alle andere flink beledigende posts door Mr Dumb zelf gepost
jaapzb @Edgarz24 mei 2017 16:00
Het is niet alleen irrelevant, het kan ook simpel opgevat worden als flamebait. Prima moderatie dus
xoniq 24 mei 2017 11:42
Zomaar een ID aan kunnen passen in de POST request zonder verdere verificatie? Dat is dan best knullig...
etix111 @xoniq24 mei 2017 13:01
Hoewel ik het met je eens ben komen dit soort bugs heel vaak voor, vooral bij kleine ondernemingen of eenmanszaken. Bedenk je dat deze check vaak op honderden plaatsen moet gebeuren en dat het al vrij snel ertussen glipt bij een van die plekken.

Thank god for frameworks.....
Verwijderd @etix11124 mei 2017 15:50
Daar heb je niet per sé frameworks maar meer gezond programmeerverstand voor nodig.
Dit kan je met frameworks net zo hard verkloten.
etix111 @Verwijderd24 mei 2017 21:42
ja tuurlijk wel, maar het idee van frameworks/middleware of whatever tool je maar gebruikt, de fout wel minder snel gemaakt is.

In mijn huidige setting komen dit soort fouten zelden voor, simpelweg omdat je een schop krijgt van een de tools (of in development of op een ander moment in de buildchain).
Tuurlijk blijft logisch nadenken een belangrijk punt en natuurlijk kun je zonder, maar fouten worden nu eenmaal gemaakt.
ATS @etix11124 mei 2017 13:06
Sure, maar bij Twitter? Die weten beter zou je denken.
etix111 @ATS24 mei 2017 13:10
Uiteindelijk zijn dit ook maar mensen. Ik snap je punt hoor en ik ben het ook met je eens, maar overal worden fouten gemaakt en aangezien software door mensen is gemaakt, bevat het fouten.

Daarom was ook mijn laatste zin; vaak zijn middleware/frameworks in werking die juist dit soort dingen moeten voorkomen. Natuurlijk kunnen deze ook fouten bevatten maar het voordeel van zoiets is, is dat als je het probleem oplost het gelijk overal opgelost is :)
xoniq @etix11124 mei 2017 13:07
Het is dat ik je laatste regel ook las, ivm het er wel eens tussenuit glipt. Daar zijn frameworks namelijk inderdaad voor; gemak en consistentie. En zo niet, zorg je dat zulke aanvragen door een vaste top laag heen gaan waar de verificatie plaatsvind op elk verzoek waar dan ook gedefinieerd.
etix111 @xoniq24 mei 2017 13:11
Precies! Ik mag eigenlijk toch wel hopen dat ze dat overal toepassen, maar blijkbaar niet.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq