Een beveiligingslek in Twitter maakte het mogelijk voor een hacker om privéberichten van anderen te lezen en berichten in naam van andere Twitteraccounts te versturen. De kwetsbaarheid werd veroorzaakt door een feature van Twitter om accounts via sms te bedienen.

Hiervoor moet een gebruiker via de Twitterinstellingen een telefoonnummer aan zijn eigen account toevoegen. Door middel van Cross Site Request Forgery (CSRF) was hacker Henry Hoggard in staat om zijn mobiele telefoonnummer aan elk willekeurig account te koppelen. Om dit soort aanvallen te voorkomen gebruikte Twitter wel een authenticiteitstoken, maar er werd niet gecontroleerd of het token wel correct was. Daardoor kon Hoggard het token van een willekeurige waarde voorzien en werd het toch door Twitter geaccepteerd.

Twitter

Om de CSRF-aanval uit te voeren moest een aanvaller het slachtoffer wel eerst naar een website zien te lokken. Bijvoorbeeld door het versturen van een link in een e-mail of chatbericht. In het geval een Twittergebruiker de link opende, werd het mobiele nummer van de aanvaller aan zijn of haar account toegevoegd. Vervolgens kon de aanvaller tweets en privéberichten versturen en eerder verstuurde privéberichten lezen.

Het gaat hier echter om een theoretisch scenario, want Hoggard rapporteerde het beveiligingslek op 3 oktober aan Twitter, dat het probleem dezelfde dag nog verhielp. Zelf adviseert de hacker aan gebruikers die zich tegen dit soort aanvallen willen beschermen om de browseruitbreiding NoScript te gebruiken.