Link alla notizia: https://www.hwupgrade.it/news/web/scopre-un-bug-critico-di-twitter-ma-riceve-un-ban-non-una-ricompensa_122640.html

Un utente di Twitter ha scoperto un bug che avrebbe potuto consentire a malintenzionati di prendere il controllo dei profili degli utenti: sarebbe bastato un click su un link fraudolento per renderlo possibile.

Click sul link per visualizzare la notizia.

Direi che nelle ultime due righe è spiegato il motivo.

Si, ma per sicurezza forse non avrebbe dovuto farlo in quanto se non lo avessero fixato subito... macello, e per fortuna tutto ok.
Per la questione premio, sbaglio o Lui ha detto di non volerne?

Direi che nelle ultime due righe è spiegato il motivo.

Si ma qualche riga prima viene detto che "X ha negato la gravità e l’idoneità per la bounty."
Quindi se neghi che sia grave e la ricompensa non c'è nessuna accordo di non divulgazione.
Inoltre se neghi che sia grave non è che poi puoi bannarlo per comportament incauto, tanto non era grave no?



P.s: solo io trovo incongruente un articolo che tira fuori termini poco desueti come "reprimenda" e poi usa "bounty" al posto di ricompensa o premio?

Visto come è stato trattato, dubito avrebbe proseguito a segnalare bug a Twitter, quindi se n'è fregato dell'esclusione.
Fossi in lui, se trovassi altri bug, li venderei al mercato nero.

By(t)e

il bug è stato risolto poco dopo che il bug è stato reso pubblico,
mentre non era stato risolto per un anno con il processo di bounty.

QUINDI
Il processo corretto e siccuramente più efficiente, per la piattaforma di X, è fare in modo che i big siano dichiarati pubblicamente.

Il minus habens ha commesso vari illeciti. Primo fra tutti il pensare di poter fare ciò che vuole con una vulnerabilità riportata al programma di Twitter. Le piattaforme di bug bounty legano tramite accettazione esplicita dei termini i ricercatori ad alcune norme, fra le quali il trasferimento di proprietà intellettuale (il report inviato) a prescindere che sia valido o meno.

Il momento in cui il cretino ha inviato il report a Twitter, l'opera non era più di sua proprietà. Da lì è responsabilità del programma (Twitter) e della piattaforma (HackerOne) farne ciò che vogliono: accettarla e risolverla con o senza retribuzione, considerarla basso rischio e rifiutarla, farci coriandoli per carnevale. In nessuno dei casi l'autore del report ha il diritto di discuterne i dettagli con alcuno (men che meno in pubblico) senza l'autorizzazione scritta della compagnia alla quale ne ha trasferito i diritti d'autore.

La persona in questione ha dimostrato zero professionalità e completa mancanza di serietà, nonché scarse capacità di comunicazione in un ambiente critico. Vorrei sperare fosse perseguibile e perseguito, ma ahimé queste corporazioni odiano la cattiva pubblicità e si metteranno a novanta pur di evitare di passare per i cattivi pur avendo piena ragione.

Il minus habens...

... il cretino....

manco avesse fatto un torto a te...


Da lì è responsabilità del programma (Twitter) e della piattaforma (HackerOne) farne ciò che vogliono: accettarla e risolverla con o senza retribuzione, considerarla basso rischio e rifiutarla, farci coriandoli per carnevale. In nessuno dei casi l'autore del report ha il diritto di discuterne i dettagli con alcuno (men che meno in pubblico) senza l'autorizzazione scritta della compagnia alla quale ne ha trasferito i diritti d'autore.


se mi paghi per il lavoro fatto io sto zitto... lui ha segnalato un bug critico con severità molto alta (accesso con 1 click a qualsiasi profilo lo definirei un bug priorità 0), non l'hanno pagato e nessuno ha sistemato il bug...il contratto tra lui e l'azienda non l'ha rispettato l'azienda per prima....

ha fatto benissimo a pubblicare il bug, in questo modo l'azienda ha dovuto chiudere la falla dimostrando (con la celerità utilizzata) che la falla era grave... considerando che altra gente l'avrà sicuramente sfruttata in silenzio in questo anno, l'azienda ha completamente torto...

il prossimo bug che troverà, dato i trascorsi, lo venderà nel dark web in modo da guadagnarci qualcosa e l'azienda (che con questa mossa ha perso tantissima credibilità) ci perderà tanto...

bio

manco avesse fatto un torto a te...



se mi paghi per il lavoro fatto io sto zitto... lui ha segnalato un bug critico con severità molto alta (accesso con 1 click a qualsiasi profilo lo definirei un bug priorità 0), non l'hanno pagato e nessuno ha sistemato il bug...il contratto tra lui e l'azienda non l'ha rispettato l'azienda per prima....

ha fatto benissimo a pubblicare il bug, in questo modo l'azienda ha dovuto chiudere la falla dimostrando (con la celerità utilizzata) che la falla era grave... considerando che altra gente l'avrà sicuramente sfruttata in silenzio in questo anno, l'azienda ha completamente torto...

bio

Se non ti sta bene, non accetti i termini e non mandi i report. Le policy dei programmi di bug bounty sono chiare e limpide: la retribuzione (in quantità e possibilità) è puramente a scelta del programma. Che tu abbia fatto il lavoro che nessuno ti ha chiesto di fare non ha la minima importanza: se io azienda ritengo sia utile te lo pago, altrimenti te lo cestino. Tu non hai alcun controllo né replica in questo ambito, perché hai accettato i miei termini esplicitamente scritti nella prima pagina che ti viene piazzata davanti quando apri hackerone.com/twitter. Non ti sta bene? Chiudi la pagina e fai altro col tuo tempo. Se accetti, accetti anche la possibilità che il tuo "very critical sir urgent gdpr takeover pls" sia cestinato.

Per assoluta definizione, comunque, un attacco che richiede interazione da parte della vittima, metrica UI nello standard CVSS, non può essere critica perché il punteggio massimo ottenibile è 8.6 con C:H I:H senza arrivare a 9.0 per essere definito "critico".

Link alla notizia: https://www.hwupgrade.it/news/web/scopre-un-bug-critico-di-twitter-ma-riceve-un-ban-non-una-ricompensa_122640.html

Un utente di Twitter ha scoperto un bug che avrebbe potuto consentire a malintenzionati di prendere il controllo dei profili degli utenti: sarebbe bastato un click su un link fraudolento per renderlo possibile.


Hanno fatto bene quelli di twitter bannandolo...
così impara a farsi i fatti propri e chiù pilu per tutti (cit.) :D

e' meglio lasciarlo in pace musk, non volete nulla a che fare con lui

lasciate i tecnici twitter/x a scovare i bug, non è piu come prima :sofico:

Se non ti sta bene, non accetti i termini e non mandi i report. Le policy dei programmi di bug bounty sono chiare e limpide: la retribuzione (in quantità e possibilità) è puramente a scelta del programma. Che tu abbia fatto il lavoro che nessuno ti ha chiesto di fare non ha la minima importanza: se io azienda ritengo sia utile te lo pago, altrimenti te lo cestino. Tu non hai alcun controllo né replica in questo ambito, perché hai accettato i miei termini esplicitamente scritti nella prima pagina che ti viene piazzata davanti quando apri hackerone.com/twitter. Non ti sta bene? Chiudi la pagina e fai altro col tuo tempo. Se accetti, accetti anche la possibilità che il tuo "very critical sir urgent gdpr takeover pls" sia cestinato.


tu non me lo paghi? visto che è stato bannato dal programma, come già scritto, lui non pubblicherà più i bug e li venderà nel dark web...

lui ha pubblicato un bug dopo che per 1 anno non è stato risolto... se l'avessero pagato non l'avrebbe fatto...

dato che non ha commesso crimini e non ha violato nessuna legge, non è perseguibile (eccetto essere bannato dalla piattaforma ovviamente)...

considerando che pubblicandolo non ci ha guadagnato, ha fatto solo esclusivamente bene...

bio

tu non me lo paghi? visto che è stato bannato dal programma, come già scritto, lui non pubblicherà più i bug e li venderà nel dark web...

lui ha pubblicato un bug dopo che per 1 anno non è stato risolto... se l'avessero pagato non l'avrebbe fatto...

dato che non ha commesso crimini e non ha violato nessuna legge, non è perseguibile (eccetto essere bannato dalla piattaforma ovviamente)...

considerando che pubblicandolo non ci ha guadagnato, ha fatto solo esclusivamente bene...

bio

1. Il lavoro si paga quando il lavoro è richiesto. I tuoi report non sono lavoro contrattualizzato né richiesto (benché benvenuti sotto le regole che sottoscrivi). Non c'è alcun obbligo da parte della compagnia di accettare o pagare alcunché perché la compagnia non ti ha chiesto di fare nulla: lo fai di tua scelta

2. Il programma ha giustamente bannato il cretino perché ha divulgato dettagli di una cosa che non era più sua (visto che quando invii il report hai trasferito la proprietà intellettuale e quelle parole non appartengono più a te). Che la vulnerabilità sia valida o meno non influisce su ciò: il trasferimento avviene sui contenuti

3. Il dark web non è interessato alle CSRF chain

4. Nessuno ha parlato di crimini, ma ha commesso un illecito. Ha trasferito la proprietà intellettuale del report ad un'entità terza che vieta di discuterne in pubblico, per poi discuterne in pubblico. Ci sono basi giuridiche per una causa, ma nessuna compagnia vuole farsi cattiva pubblicità

5. Ha fatto benissimo, infatti ora è in lista nera

Il minus habens ha commesso vari illeciti. Primo fra tutti il pensare di poter fare ciò che vuole con una vulnerabilità riportata al programma di Twitter. Le piattaforme di bug bounty legano tramite accettazione esplicita dei termini i ricercatori ad alcune norme, fra le quali il trasferimento di proprietà intellettuale (il report inviato) a prescindere che sia valido o meno.

Il momento in cui il cretino ha inviato il report a Twitter, l'opera non era più di sua proprietà. Da lì è responsabilità del programma (Twitter) e della piattaforma (HackerOne) farne ciò che vogliono: accettarla e risolverla con o senza retribuzione, considerarla basso rischio e rifiutarla, farci coriandoli per carnevale. In nessuno dei casi l'autore del report ha il diritto di discuterne i dettagli con alcuno (men che meno in pubblico) senza l'autorizzazione scritta della compagnia alla quale ne ha trasferito i diritti d'autore.

La persona in questione ha dimostrato zero professionalità e completa mancanza di serietà, nonché scarse capacità di comunicazione in un ambiente critico. Vorrei sperare fosse perseguibile e perseguito, ma ahimé queste corporazioni odiano la cattiva pubblicità e si metteranno a novanta pur di evitare di passare per i cattivi pur avendo piena ragione.

Quindi se ho capito bene potrebbe essere perseguito per aver diffuso il report del bug non avendo i diritti d'autore su tale report perchè aveva perso tali diritti sottomettendolo al programma di bounty?

Se non avesse inviato il report a twitter, ma avesse subito reso pubblico il bug, dicendo "ei twitter hai questo bug, lo sapevi?", non sarebbe stato perseguibile?

Si ma qualche riga prima viene detto che "X ha negato la gravità e l’idoneità per la bounty."
Quindi se neghi che sia grave e la ricompensa non c'è nessuna accordo di non divulgazione.
Inoltre se neghi che sia grave non è che poi puoi bannarlo per comportament incauto, tanto non era grave no?

Da ignorante concordo, anzi direi che è palese che tale falla fosse decisamente grave non a caso appena resa pubblica sono subito corsi a chiuderla, anzi mi chiedo se nel caso in cui venisse scoperto che durate in tempo in cui tweeter\x era stata informata di tale falla si scoprisse che sia stata effettivamente usata per compiere degli attacchi malevoli se tweeter\x non ne sarebbe stata responsabile e magari chiamata perfino a risarcirne i danni, dato che hanno di fatto volutamente trascurato l'evidente pericolo.


P.s: solo io trovo incongruente un articolo che tira fuori termini poco desueti come "reprimenda" e poi usa "bounty" al posto di ricompensa o premio?
In effetti è quanto meno curioso, ma io ci trovo anche una logica, nel cercare di dare un certo tono all'articolo si ricorre da una parte a termini tecnici come "bounty" (come si è fatto anche con altri termini di cui si è volutamente ignoranto il corrispettivo italiano come "scalper" "notch" eccc... ) e dall'altra con termini più ricercati... credo comunque che anche tu abbia commesso un piccolo errore, quel "poco desueti" dato che desueti significa caduti in disuso credo che quel poco sia di troppo.

Se non ti sta bene, non accetti i termini e non mandi i report. Le policy dei programmi di bug bounty sono chiare e limpide: la retribuzione (in quantità e possibilità) è puramente a scelta del programma. Che tu abbia fatto il lavoro che nessuno ti ha chiesto di fare non ha la minima importanza: se io azienda ritengo sia utile te lo pago, altrimenti te lo cestino. Tu non hai alcun controllo né replica in questo ambito, perché hai accettato i miei termini esplicitamente scritti nella prima pagina che ti viene piazzata davanti quando apri hackerone.com/twitter. Non ti sta bene? Chiudi la pagina e fai altro col tuo tempo. Se accetti, accetti anche la possibilità che il tuo "very critical sir urgent gdpr takeover pls" sia cestinato.

Per assoluta definizione, comunque, un attacco che richiede interazione da parte della vittima, metrica UI nello standard CVSS, non può essere critica perché il punteggio massimo ottenibile è 8.6 con C:H I:H senza arrivare a 9.0 per essere definito "critico".

Però credo che ci sia stato un problema di comunicazione anche da parte di X.
Se ti segnalano un bug del quale sei già al corrente, dovresti almeno far riferimento ad un ticket che riporti la data della segnalazione precedente.
Altrimenti basterebbe dire "si grazie ma lo sapevo già" per non pagare più nessuno.

Quindi se ho capito bene potrebbe essere perseguito per aver diffuso il report del bug non avendo i diritti d'autore su tale report perchè aveva perso tali diritti sottomettendolo al programma di bounty?


Potrebbe ma non lo sarà mai perché sarebbe pessima pubblicità per Twitter e HackerOne che non vogliono compromettere la loro postura di volemosebene. L'invio del report è un trasferimento di proprietà intellettuale, l'utente non aveva alcun diritto di pubblicare qualcosa che non era più suo


Se non avesse inviato il report a twitter, ma avesse subito reso pubblico il bug, dicendo "ei twitter hai questo bug, lo sapevi?", non sarebbe stato perseguibile?

Dipende. Accettare i termini di un BBP o VDP implica la presenza di un "safe harbor" che consente effettivamente ai ricercatori di attaccare entro certi limiti un'organizzazione senza conseguenze legali. Se il ricercatore si mantiene entro i limiti stabiliti dalle policy, qualunque causa nei loro confronti cadrebbe in sede di giudizio. Occhio che ho specificato "entro certi limiti", ci sono cose non accettabili indipendentemente dal "safe harbor". La vulnerabilità qui discussa era certamente entro questi limiti, il comportamento che ne è scaturito invece no


Da ignorante concordo, anzi direi che è palese che tale falla fosse decisamente grave non a caso appena resa pubblica sono subito corsi a chiuderla

Non è così grave, XSS+CSRF a cavalcioni della sessione dell'utente autenticato è un 6.5 medio, massimo 8.1 alto, ma non grave e critica come altre istanze.


anzi mi chiedo se nel caso in cui venisse scoperto che durate in tempo in cui tweeter\x era stata informata di tale falla si scoprisse che sia stata effettivamente usata per compiere degli attacchi malevoli se tweeter\x non ne sarebbe stata responsabile e magari chiamata perfino a risarcirne i danni, dato che hanno di fatto volutamente trascurato l'evidente pericolo.

No, perché non è un data breach e non sono tenuti ad informare nessuno di alcunché sotto alcuna giurisdizione. Sono affari interni del SOC.


Però credo che ci sia stato un problema di comunicazione anche da parte di X.
Se ti segnalano un bug del quale sei già al corrente, dovresti almeno far riferimento ad un ticket che riporti la data della segnalazione precedente.
Altrimenti basterebbe dire "si grazie ma lo sapevo già" per non pagare più nessuno.

I problemi di comunicazione partono dagli hacker che inviano queste segnalazioni. 4 casi su 5 infarciscono i report di emerite stronzate dai toni allarmanti e urgenti o direttamente aggressivi per farsi pagare. Da lì in poi la comunicazione si sgretola perché non tutti i team di sicurezza sono composti da perfetti idioti o gente di marketing, quindi automaticamente l'autore della segnalazione viene considerato un maleducato.

Per quanto riguarda invece il "sì grazie ma lo sapevo già", fornire le evidenze agli utenti non è sempre consentito poiché i ticket interni contengono a) PII di altri utenti b) proof-of-concept e vettori ancora non noti c) movimenti laterali o verticali non rivelati e non noti all'autore tardivo. Le evidenze di un duplicato sono gestite internamente e sono provviste alla piattaforma responsabile quando necessario. In questo caso, se HackerOne ha preso le parti dell'hacker ed ha chiesto a Twitter le prove del ticket interno, Twitter ha fornito ad HackerOne le prove necessarie. Queste prove possono o non possono essere condivise con il ricercatore che, in ogni caso, è legalmente tenuto a seguire pedissequamente i termini ai quali ha acconsentito.

la prossima volta gli conviene vendere il bug a qualcuno che lo sfrutti visto che in X sono diventati tutti [censura]

d'altro canto.. visto come butta..

la prossima volta gli conviene vendere il bug a qualcuno che lo sfrutti visto che in X sono diventati tutti [censura]

d'altro canto.. visto come butta..

Nessuno si comprerebbe mai un bug così. Non sono quelle le cose che hanno mercato nel dark web. Zero.

4. Nessuno ha parlato di crimini, ma ha commesso un illecito. Ha trasferito la proprietà intellettuale del report ad un'entità terza che vieta di discuterne in pubblico, per poi discuterne in pubblico. Ci sono basi giuridiche per una causa, ma nessuna compagnia vuole farsi cattiva pubblicità


parlare di illecito è molto vago...essendo giusto un illecito morale, secondo me quando dall'altra parte non rispettano un contratto, tu non sei tenuto a rispettarlo... visto che il moralmente vale entrambi i lati...

bio

Leggendo i vostri interventi ho intenso più cose ed una tra le tante e che da ignorante non avevo considerato, riguarda proprio i termini del programma bug bounty.

Se lì ci sono clausole che dicono cosa fare e cosa non fare, allora ci si deve attenere, altrimenti bisogna valutare tutte le circostanze possibili che possono verificarsi a seguito di un'azione non pensata a fondo.

In questo caso specifico, dato che era una falla grave, poteva magari inviare giornalmente ripetute email di segnalazione.

Concordo col tuo ragionamento ma poi nella pratica, ammesso che non si cerchi
di ottenere elogi e/o quant'altro, è meglio farsi gli affari propri.

Dalle mie parti si dice che se trovi un paio di corna per strada non devi raccoglierle
ed indossarle per farti bello.

Certe volte, l'ingenuità porta a fare delle "operazioni" sbagliate anche se fatte
in buona fede; a me a volte è capitato, ma poi ci si rialza e si continua a camminare nel sentiero della vita:
https://www.youtube.com/watch?v=FrRaPtbc-ac

:D :D :D

parlare di illecito è molto vago...essendo giusto un illecito morale, secondo me quando dall'altra parte non rispettano un contratto, tu non sei tenuto a rispettarlo... visto che il moralmente vale entrambi i lati...

bio

Non c'è alcun contratto non rispettato da parte della compagnia. La compagnia si impegna a retribuire il ricercatore SE la vulnerabilità è accettata e considerata non duplicata. Nessun programma di bug bounty paga a prescindere il lavoro del ricercatore: solo se ha un valore ed è unico.

1. Il lavoro si paga quando il lavoro è richiesto. I tuoi report non sono lavoro contrattualizzato né richiesto (benché benvenuti sotto le regole che sottoscrivi). Non c'è alcun obbligo da parte della compagnia di accettare o pagare alcunché perché la compagnia non ti ha chiesto di fare nulla: lo fai di tua scelta

2. Il programma ha giustamente bannato il cretino perché ha divulgato dettagli di una cosa che non era più sua (visto che quando invii il report hai trasferito la proprietà intellettuale e quelle parole non appartengono più a te). Che la vulnerabilità sia valida o meno non influisce su ciò: il trasferimento avviene sui contenuti

3. Il dark web non è interessato alle CSRF chain

4. Nessuno ha parlato di crimini, ma ha commesso un illecito. Ha trasferito la proprietà intellettuale del report ad un'entità terza che vieta di discuterne in pubblico, per poi discuterne in pubblico. Ci sono basi giuridiche per una causa, ma nessuna compagnia vuole farsi cattiva pubblicità

5. Ha fatto benissimo, infatti ora è in lista neraIndubbiamente X (Twitter) ha tutte le ragioni del mondo.

Però a mio avviso si guarda troppo agli aspetti "legali/normativi'', tralasciando il "concreto" e il motivo per cui esiste tale programma.

E cioè individuare vulnerabilità e risolverle. In questa vicenda, per quanto il tizio in questione abbia a termini di contratto sbagliato, è in realtà l'unico che ha cercato di risolvere tale problema.
Giustamente tu dici che X non ha alcun obbligo a seguito della segnalazione, ma nel momento in cui non fai quello per cui tale servizio esiste, diventa solo un modo per pararsi il culo. @rabbit_2333 non può fare nulla contro il ban, ha violato i termini dell'accordo e giustamente viene fatto fuori, ma tra tutti coloro correlati a questa vicenda mi pare l'unico che abbia agito in ottemperanza al significato stesso dell'esistenza di tale apparato.

Non è neanche un discorso di difficoltà di risoluzione, dato che ci han messo poche ore a risolverlo.

Indubbiamente X (Twitter) ha tutte le ragioni del mondo.

Però a mio avviso si guarda troppo agli aspetti "legali/normativi'', tralasciando il "concreto" e il motivo per cui esiste tale programma.

E cioè individuare vulnerabilità e risolverle. In questa vicenda, per quanto il tizio in questione abbia a termini di contratto sbagliato, è in realtà l'unico che ha cercato di risolvere tale problema.
Giustamente tu dici che X non ha alcun obbligo a seguito della segnalazione, ma nel momento in cui non fai quello per cui tale servizio esiste, diventa solo un modo per pararsi il culo. @rabbit_2333 non può fare nulla contro il ban, ha violato i termini dell'accordo e giustamente viene fatto fuori, ma tra tutti coloro correlati a questa vicenda mi pare l'unico che abbia agito in ottemperanza al significato stesso dell'esistenza di tale apparato.

Non è neanche un discorso di difficoltà di risoluzione, dato che ci han messo poche ore a risolverlo.

Concordo. Se il bug era lì da un anno, chissà le se è mai stato usato a fini illeciti. Il non volerlo risolvere da parte di Twitter (perché MAGARI Elone ha licenziato tutti quelli bravi...) è la parte peggiore di tutta la vicenda.

Considerato che:
1- non è stato pagato
2- non hanno risolto il bug

Ha fatto bene a segnalarlo pubblicamente, così da costringere Twitter a risolverlo.
Alla fine l'hacker si è sacrificato per noi (giusto o sbagliato che sia, legalmente parlando).

By(t)e

Non è che di proposito non vogliono rimediare per qualche "oscuro" fine?

Ma no, questo non lo credo. Sarebbe alquanto stupido lasciare un bug che è già stato segnalato come backdoor per motivi poco leciti, il rischio sputtanamento è troppo elevato (tant'è che si è verificato).

Poi oh, alla stupidità non c'è limite, eh...

By(t)e