image

Twitter dicht lek dat verwijderen creditcards mogelijk maakte

donderdag 18 september 2014, 13:42 door Redactie, 0 reacties

Twitter heeft een lek gedicht waardoor een aanvaller de creditcards van alle Twitteraccounts kon verwijderen, waardoor advertentiecampagnes op Twitter zouden stoppen wat een financiele strop voor de microbloggingdienst had kunnen betekenen. Dat stelt de Egyptische onderzoeker Ahmed Aboul-Ela.

Onlangs kondigde Twitter een beloningsprogramma voor bugmeldingen aan, wat Aboul-Ela inspireerde om naar bugs te zoeken. Hij richtte zich onder andere op ads.twitter.com, de website waar gebruikers advertenties op Twitter kunnen instellen en beheren. Het betalen van een advertentiecampagne kan via creditcard. Het is echter ook mogelijk om een creditcard te verwijderen om bijvoorbeeld een nieuwe kaart in te stellen.

Het verzoek om een creditcard te verwijderen bestond alleen uit het Twitter acount-ID en het creditcard-ID, wat uit zes cijfers bestaat. Er was geen verdere actie vereist dan het versturen van deze verzoeken naar Twitter. Aboul-Ela stelt dat een aanvaller een eenvoudig script had kunnen maken waarbij alle Twitter-ID's en mogelijke creditcard-ID's werden afgegaan om zo de ingestelde creditcards te verwijderen.

Daarnaast ontdekte de onderzoeker ook een soortgelijk probleem dat een veel grotere impact had. Bij de tweede aanval was namelijk alleen het opgeven van een creditcard-ID voldoende om die bij willekeurige accounts te verwijderen. De onderzoeker rapporteerde het probleem aan Twitter, dat binnen twee dagen met een oplossing kwam. Als beloning voor zijn ontdekking ontving hij 2800 dollar. De hoogste beloning die Twitter tot nu toe heeft uitgeloofd.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.