Usuario de Twitter Encuentra Error Crítico en la Plataforma y es Expulsado Por Hacerlo Público

Durante más de un año, todo lo que se necesitaba era hacer clic en un enlace maliciosamente diseñado en Twitter y tu cuenta podía ser tomada y utilizada para tuitear, retuitear, dar me gusta o bloquear a otros usuarios. La vulnerabilidad fue revelada públicamente el miércoles, lo que llevó a una solución rápida y una reprimenda para el usuario que la reveló.

En lugar de recibir una recompensa monetaria del programa de recompensas por errores de Twitter, la compañía prohibió al usuario participar.

La revelación fue hecha por el usuario de Twitter pseudónimo @rabbit_2333, quien compartió cómo se puede aprovechar una vulnerabilidad XSS en el subdominio de análisis de Twitter, para dar acceso a un atacante al perfil de un tercero, permitiéndole la capacidad de hacer casi todo, excepto cambiar la contraseña de la cuenta.

El hackeo hizo uso de la técnica de scripting entre sitios (XSS) y falsificación de petición en sitios cruzados (CSRF). Los ataques XSS permiten a actores maliciosos inyectar scripts dañinos en páginas web, mientras que el CSRF engaña a los usuarios para que ejecuten acciones en una aplicación web donde ya están autenticados.

El bug de Twitter utilizó ambos métodos, lo que lo hace especialmente peligroso. Al explotar XSS, los atacantes podían evadir las medidas de seguridad web y obtener acceso no autorizado a las cuentas de los usuarios.

A medida que se difundió la noticia de esta vulnerabilidad, Chaofan Shou, cofundador de la plataforma de análisis de contratos inteligentes Fuzz.Lan, intervino para proporcionar más detalles. Shou reveló lo fácil que era construir una herramienta de explotación poderosa basada en esta vulnerabilidad no resuelta y proporcionó una explicación detallada de cómo funcionaba el bug y los daños potenciales que podría causar.

La explicación de Shou fue seguida por comentarios del investigador de ciberseguridad Sam Sun, quien proporcionó consejos prácticos sobre cómo evitar la explotación y destacó la falta de seguridad incluso para aquellos que usan Twitter en sus teléfonos a través de navegadores.

Sun señaló que el navegador web centrado en la privacidad Brave habría evitado que el exploit funcionara.

La respuesta de Twitter fue rápida después de esta divulgación pública. En cuestión de horas, solucionaron la vulnerabilidad, según confirmó Sam Sun. A pesar de la gravedad potencial de la falla, @rabbit_2333 fue notificado de su expulsión del programa de recompensas por errores de Twitter.

"Gracias Twitter", escribió el usuario, con capturas de pantalla de la notificación de prohibición de Twitter.

A medida que los comentarios inundaban sobre si @rabbit_2333 debería haber publicado sobre el error o no, el usuario afirmó que al principio siguieron el protocolo adecuado. Solo cuando Twitter desestimó la gravedad y su elegibilidad para una recompensa, hicieron público el asunto, según afirmó el usuario.

El propósito de los programas de recompensa por errores es prevenir incidentes como este, incentivando a los desarrolladores a descubrir vulnerabilidades de seguridad con recompensas y un acuerdo de no divulgarlos mientras la empresa soluciona los problemas.

Los programas de recompensa por errores son comunes en el desarrollo de software, así como en criptomonedas, especialmente cuando se trata de contratos inteligentes. Si bien ejecutar dichos programas puede ser desafiante, la prevención de una violación de seguridad generalmente se considera que vale la pena el esfuerzo.

Editado por Ryan Ozawa.