Twitter исправила уязвимость, позволявшую неавторизованным пользователям удалять любую кредитную карту со всех аккаунтов, тем самым уменьшая прибыль компании от рекламы.
Атаки осуществлялись путем эксплуатации уязвимости «прямой ссылки на объект» (direct object reference vulnerability) и манипуляций с последовательностями чисел в URL-адресах. Уязвимость оказалась весьма критичной, поскольку для удаления кредитной карты необходим только идентификатор, состоящий из шести цифр, например, «220152», сказал Ахмед Абул-Эла (Ahmed Aboul-Ela), специалист по информационной безопасности.
Первая уязвимость касалась карт, хранившихся в «ads.twitter.com/accounts/[account id]/payment_methods». Абул-Эла показал, как, изменив всего два параметра в POST-запросе и переслав измененный запрос, можно удалить карту. Вторая уязвимость состояла в генерировании опции «dismiss» при использовании недействительной карты, что создавало эффект удаления карты. Расширяя идентификаторы, можно удалить огромное количество карт.
В начале сентября Twitter запустил программу выплаты вознаграждений за выявленные уязвимости и теперь платит всем, кто обнаружит уязвимости и сообщит об этом на специально созданный сайт HackerOne . В рамках программы Абул-Эла получил от Twitter $ 2800 – по его словам, самое крупное вознаграждение на сегодняшний день.
