Уязвимость в Twitter позволяла удалить кредитные карты с любого аккаунта

Twitter исправила уязвимость , позволявшую неавторизованным пользователям удалять любую кредитную карту со всех аккаунтов, тем самым уменьшая прибыль компании от рекламы.

Атаки осуществлялись путем эксплуатации уязвимости «прямой ссылки на объект» (direct object reference vulnerability) и манипуляций с последовательностями чисел в URL-адресах. Уязвимость оказалась весьма критичной, поскольку для удаления кредитной карты необходим только идентификатор, состоящий из шести цифр, например, «220152», сказал Ахмед Абул-Эла (Ahmed Aboul-Ela), специалист по информационной безопасности.

Первая уязвимость касалась карт, хранившихся в «ads.twitter.com/accounts/[account id]/payment_methods». Абул-Эла показал, как, изменив всего два параметра в POST-запросе и переслав измененный запрос, можно удалить карту. Вторая уязвимость состояла в генерировании опции «dismiss» при использовании недействительной карты, что создавало эффект удаления карты. Расширяя идентификаторы, можно удалить огромное количество карт.

В начале сентября Twitter запустил программу выплаты вознаграждений за выявленные уязвимости и теперь платит всем, кто обнаружит уязвимости и сообщит об этом на специально созданный сайт HackerOne . В рамках программы Абул-Эла получил от Twitter $ 2800 – по его словам, самое крупное вознаграждение на сегодняшний день.