Scopre un bug critico di Twitter, ma riceve un ban, non una ricompensa

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/web/sc...sa_122640.html

Un utente di Twitter ha scoperto un bug che avrebbe potuto consentire a malintenzionati di prendere il controllo dei profili degli utenti: sarebbe bastato un click su un link fraudolento per renderlo possibile.

Click sul link per visualizzare la notizia.

[Unrue]

Direi che nelle ultime due righe è spiegato il motivo.

[UtenteHD]

Si, ma per sicurezza forse non avrebbe dovuto farlo in quanto se non lo avessero fixato subito... macello, e per fortuna tutto ok.
Per la questione premio, sbaglio o Lui ha detto di non volerne?

[Mars95]

Quote:

Originariamente inviato da Unrue

Direi che nelle ultime due righe è spiegato il motivo.

Si ma qualche riga prima viene detto che "X ha negato la gravità e l’idoneità per la bounty."
Quindi se neghi che sia grave e la ricompensa non c'è nessuna accordo di non divulgazione.
Inoltre se neghi che sia grave non è che poi puoi bannarlo per comportament incauto, tanto non era grave no?



P.s: solo io trovo incongruente un articolo che tira fuori termini poco desueti come "reprimenda" e poi usa "bounty" al posto di ricompensa o premio?

[andbad]

Visto come è stato trattato, dubito avrebbe proseguito a segnalare bug a Twitter, quindi se n'è fregato dell'esclusione.
Fossi in lui, se trovassi altri bug, li venderei al mercato nero.

By(t)e

[kirylo]

il bug è stato risolto poco dopo che il bug è stato reso pubblico,
mentre non era stato risolto per un anno con il processo di bounty.

QUINDI
Il processo corretto e siccuramente più efficiente, per la piattaforma di X, è fare in modo che i big siano dichiarati pubblicamente.

[h.rorschach]

Il minus habens ha commesso vari illeciti. Primo fra tutti il pensare di poter fare ciò che vuole con una vulnerabilità riportata al programma di Twitter. Le piattaforme di bug bounty legano tramite accettazione esplicita dei termini i ricercatori ad alcune norme, fra le quali il trasferimento di proprietà intellettuale (il report inviato) a prescindere che sia valido o meno.

Il momento in cui il cretino ha inviato il report a Twitter, l'opera non era più di sua proprietà. Da lì è responsabilità del programma (Twitter) e della piattaforma (HackerOne) farne ciò che vogliono: accettarla e risolverla con o senza retribuzione, considerarla basso rischio e rifiutarla, farci coriandoli per carnevale. In nessuno dei casi l'autore del report ha il diritto di discuterne i dettagli con alcuno (men che meno in pubblico) senza l'autorizzazione scritta della compagnia alla quale ne ha trasferito i diritti d'autore.

La persona in questione ha dimostrato zero professionalità e completa mancanza di serietà, nonché scarse capacità di comunicazione in un ambiente critico. Vorrei sperare fosse perseguibile e perseguito, ma ahimé queste corporazioni odiano la cattiva pubblicità e si metteranno a novanta pur di evitare di passare per i cattivi pur avendo piena ragione.

[bio82]

Quote:

Originariamente inviato da h.rorschach

Il minus habens...

... il cretino....

manco avesse fatto un torto a te...

Quote:

Originariamente inviato da h.rorschach

Da lì è responsabilità del programma (Twitter) e della piattaforma (HackerOne) farne ciò che vogliono: accettarla e risolverla con o senza retribuzione, considerarla basso rischio e rifiutarla, farci coriandoli per carnevale. In nessuno dei casi l'autore del report ha il diritto di discuterne i dettagli con alcuno (men che meno in pubblico) senza l'autorizzazione scritta della compagnia alla quale ne ha trasferito i diritti d'autore.

se mi paghi per il lavoro fatto io sto zitto... lui ha segnalato un bug critico con severità molto alta (accesso con 1 click a qualsiasi profilo lo definirei un bug priorità 0), non l'hanno pagato e nessuno ha sistemato il bug...il contratto tra lui e l'azienda non l'ha rispettato l'azienda per prima....

ha fatto benissimo a pubblicare il bug, in questo modo l'azienda ha dovuto chiudere la falla dimostrando (con la celerità utilizzata) che la falla era grave... considerando che altra gente l'avrà sicuramente sfruttata in silenzio in questo anno, l'azienda ha completamente torto...

il prossimo bug che troverà, dato i trascorsi, lo venderà nel dark web in modo da guadagnarci qualcosa e l'azienda (che con questa mossa ha perso tantissima credibilità) ci perderà tanto...

bio

[h.rorschach]

Quote:

Originariamente inviato da bio82

manco avesse fatto un torto a te...



se mi paghi per il lavoro fatto io sto zitto... lui ha segnalato un bug critico con severità molto alta (accesso con 1 click a qualsiasi profilo lo definirei un bug priorità 0), non l'hanno pagato e nessuno ha sistemato il bug...il contratto tra lui e l'azienda non l'ha rispettato l'azienda per prima....

ha fatto benissimo a pubblicare il bug, in questo modo l'azienda ha dovuto chiudere la falla dimostrando (con la celerità utilizzata) che la falla era grave... considerando che altra gente l'avrà sicuramente sfruttata in silenzio in questo anno, l'azienda ha completamente torto...

bio

Se non ti sta bene, non accetti i termini e non mandi i report. Le policy dei programmi di bug bounty sono chiare e limpide: la retribuzione (in quantità e possibilità) è puramente a scelta del programma. Che tu abbia fatto il lavoro che nessuno ti ha chiesto di fare non ha la minima importanza: se io azienda ritengo sia utile te lo pago, altrimenti te lo cestino. Tu non hai alcun controllo né replica in questo ambito, perché hai accettato i miei termini esplicitamente scritti nella prima pagina che ti viene piazzata davanti quando apri hackerone.com/twitter. Non ti sta bene? Chiudi la pagina e fai altro col tuo tempo. Se accetti, accetti anche la possibilità che il tuo "very critical sir urgent gdpr takeover pls" sia cestinato.

Per assoluta definizione, comunque, un attacco che richiede interazione da parte della vittima, metrica UI nello standard CVSS, non può essere critica perché il punteggio massimo ottenibile è 8.6 con C:H I:H senza arrivare a 9.0 per essere definito "critico".

[Peppe1970]

Quote:

Originariamente inviato da Redazione di Hardware Upgrade

Link alla notizia: https://www.hwupgrade.it/news/web/sc...sa_122640.html

Un utente di Twitter ha scoperto un bug che avrebbe potuto consentire a malintenzionati di prendere il controllo dei profili degli utenti: sarebbe bastato un click su un link fraudolento per renderlo possibile.

Hanno fatto bene quelli di twitter bannandolo...
così impara a farsi i fatti propri e chiù pilu per tutti (cit.)

[Vindicator]

e' meglio lasciarlo in pace musk, non volete nulla a che fare con lui

lasciate i tecnici twitter/x a scovare i bug, non è piu come prima

[bio82]

Quote:

Originariamente inviato da h.rorschach

Se non ti sta bene, non accetti i termini e non mandi i report. Le policy dei programmi di bug bounty sono chiare e limpide: la retribuzione (in quantità e possibilità) è puramente a scelta del programma. Che tu abbia fatto il lavoro che nessuno ti ha chiesto di fare non ha la minima importanza: se io azienda ritengo sia utile te lo pago, altrimenti te lo cestino. Tu non hai alcun controllo né replica in questo ambito, perché hai accettato i miei termini esplicitamente scritti nella prima pagina che ti viene piazzata davanti quando apri hackerone.com/twitter. Non ti sta bene? Chiudi la pagina e fai altro col tuo tempo. Se accetti, accetti anche la possibilità che il tuo "very critical sir urgent gdpr takeover pls" sia cestinato.

tu non me lo paghi? visto che è stato bannato dal programma, come già scritto, lui non pubblicherà più i bug e li venderà nel dark web...

lui ha pubblicato un bug dopo che per 1 anno non è stato risolto... se l'avessero pagato non l'avrebbe fatto...

dato che non ha commesso crimini e non ha violato nessuna legge, non è perseguibile (eccetto essere bannato dalla piattaforma ovviamente)...

considerando che pubblicandolo non ci ha guadagnato, ha fatto solo esclusivamente bene...

bio

[h.rorschach]

Quote:

Originariamente inviato da bio82

tu non me lo paghi? visto che è stato bannato dal programma, come già scritto, lui non pubblicherà più i bug e li venderà nel dark web...

lui ha pubblicato un bug dopo che per 1 anno non è stato risolto... se l'avessero pagato non l'avrebbe fatto...

dato che non ha commesso crimini e non ha violato nessuna legge, non è perseguibile (eccetto essere bannato dalla piattaforma ovviamente)...

considerando che pubblicandolo non ci ha guadagnato, ha fatto solo esclusivamente bene...

bio

1. Il lavoro si paga quando il lavoro è richiesto. I tuoi report non sono lavoro contrattualizzato né richiesto (benché benvenuti sotto le regole che sottoscrivi). Non c'è alcun obbligo da parte della compagnia di accettare o pagare alcunché perché la compagnia non ti ha chiesto di fare nulla: lo fai di tua scelta

2. Il programma ha giustamente bannato il cretino perché ha divulgato dettagli di una cosa che non era più sua (visto che quando invii il report hai trasferito la proprietà intellettuale e quelle parole non appartengono più a te). Che la vulnerabilità sia valida o meno non influisce su ciò: il trasferimento avviene sui contenuti

3. Il dark web non è interessato alle CSRF chain

4. Nessuno ha parlato di crimini, ma ha commesso un illecito. Ha trasferito la proprietà intellettuale del report ad un'entità terza che vieta di discuterne in pubblico, per poi discuterne in pubblico. Ci sono basi giuridiche per una causa, ma nessuna compagnia vuole farsi cattiva pubblicità

5. Ha fatto benissimo, infatti ora è in lista nera

[Wrib]

Quote:

Originariamente inviato da h.rorschach

Il minus habens ha commesso vari illeciti. Primo fra tutti il pensare di poter fare ciò che vuole con una vulnerabilità riportata al programma di Twitter. Le piattaforme di bug bounty legano tramite accettazione esplicita dei termini i ricercatori ad alcune norme, fra le quali il trasferimento di proprietà intellettuale (il report inviato) a prescindere che sia valido o meno.

Il momento in cui il cretino ha inviato il report a Twitter, l'opera non era più di sua proprietà. Da lì è responsabilità del programma (Twitter) e della piattaforma (HackerOne) farne ciò che vogliono: accettarla e risolverla con o senza retribuzione, considerarla basso rischio e rifiutarla, farci coriandoli per carnevale. In nessuno dei casi l'autore del report ha il diritto di discuterne i dettagli con alcuno (men che meno in pubblico) senza l'autorizzazione scritta della compagnia alla quale ne ha trasferito i diritti d'autore.

La persona in questione ha dimostrato zero professionalità e completa mancanza di serietà, nonché scarse capacità di comunicazione in un ambiente critico. Vorrei sperare fosse perseguibile e perseguito, ma ahimé queste corporazioni odiano la cattiva pubblicità e si metteranno a novanta pur di evitare di passare per i cattivi pur avendo piena ragione.

Quindi se ho capito bene potrebbe essere perseguito per aver diffuso il report del bug non avendo i diritti d'autore su tale report perchè aveva perso tali diritti sottomettendolo al programma di bounty?

Se non avesse inviato il report a twitter, ma avesse subito reso pubblico il bug, dicendo "ei twitter hai questo bug, lo sapevi?", non sarebbe stato perseguibile?

[biometallo]

Quote:

Originariamente inviato da Mars95

Si ma qualche riga prima viene detto che "X ha negato la gravità e l’idoneità per la bounty."
Quindi se neghi che sia grave e la ricompensa non c'è nessuna accordo di non divulgazione.
Inoltre se neghi che sia grave non è che poi puoi bannarlo per comportament incauto, tanto non era grave no?

Da ignorante concordo, anzi direi che è palese che tale falla fosse decisamente grave non a caso appena resa pubblica sono subito corsi a chiuderla, anzi mi chiedo se nel caso in cui venisse scoperto che durate in tempo in cui tweeter\x era stata informata di tale falla si scoprisse che sia stata effettivamente usata per compiere degli attacchi malevoli se tweeter\x non ne sarebbe stata responsabile e magari chiamata perfino a risarcirne i danni, dato che hanno di fatto volutamente trascurato l'evidente pericolo.

Quote:

P.s: solo io trovo incongruente un articolo che tira fuori termini poco desueti come "reprimenda" e poi usa "bounty" al posto di ricompensa o premio?

In effetti è quanto meno curioso, ma io ci trovo anche una logica, nel cercare di dare un certo tono all'articolo si ricorre da una parte a termini tecnici come "bounty" (come si è fatto anche con altri termini di cui si è volutamente ignoranto il corrispettivo italiano come "scalper" "notch" eccc... ) e dall'altra con termini più ricercati... credo comunque che anche tu abbia commesso un piccolo errore, quel "poco desueti" dato che desueti significa caduti in disuso credo che quel poco sia di troppo.

[nebuk]

Quote:

Originariamente inviato da h.rorschach

Se non ti sta bene, non accetti i termini e non mandi i report. Le policy dei programmi di bug bounty sono chiare e limpide: la retribuzione (in quantità e possibilità) è puramente a scelta del programma. Che tu abbia fatto il lavoro che nessuno ti ha chiesto di fare non ha la minima importanza: se io azienda ritengo sia utile te lo pago, altrimenti te lo cestino. Tu non hai alcun controllo né replica in questo ambito, perché hai accettato i miei termini esplicitamente scritti nella prima pagina che ti viene piazzata davanti quando apri hackerone.com/twitter. Non ti sta bene? Chiudi la pagina e fai altro col tuo tempo. Se accetti, accetti anche la possibilità che il tuo "very critical sir urgent gdpr takeover pls" sia cestinato.

Per assoluta definizione, comunque, un attacco che richiede interazione da parte della vittima, metrica UI nello standard CVSS, non può essere critica perché il punteggio massimo ottenibile è 8.6 con C:H I:H senza arrivare a 9.0 per essere definito "critico".

Però credo che ci sia stato un problema di comunicazione anche da parte di X.
Se ti segnalano un bug del quale sei già al corrente, dovresti almeno far riferimento ad un ticket che riporti la data della segnalazione precedente.
Altrimenti basterebbe dire "si grazie ma lo sapevo già" per non pagare più nessuno.

[h.rorschach]

Quote:

Originariamente inviato da Wrib

Quindi se ho capito bene potrebbe essere perseguito per aver diffuso il report del bug non avendo i diritti d'autore su tale report perchè aveva perso tali diritti sottomettendolo al programma di bounty?

Potrebbe ma non lo sarà mai perché sarebbe pessima pubblicità per Twitter e HackerOne che non vogliono compromettere la loro postura di volemosebene. L'invio del report è un trasferimento di proprietà intellettuale, l'utente non aveva alcun diritto di pubblicare qualcosa che non era più suo

Quote:

Originariamente inviato da Wrib

Se non avesse inviato il report a twitter, ma avesse subito reso pubblico il bug, dicendo "ei twitter hai questo bug, lo sapevi?", non sarebbe stato perseguibile?

Dipende. Accettare i termini di un BBP o VDP implica la presenza di un "safe harbor" che consente effettivamente ai ricercatori di attaccare entro certi limiti un'organizzazione senza conseguenze legali. Se il ricercatore si mantiene entro i limiti stabiliti dalle policy, qualunque causa nei loro confronti cadrebbe in sede di giudizio. Occhio che ho specificato "entro certi limiti", ci sono cose non accettabili indipendentemente dal "safe harbor". La vulnerabilità qui discussa era certamente entro questi limiti, il comportamento che ne è scaturito invece no

Quote:

Originariamente inviato da biometallo

Da ignorante concordo, anzi direi che è palese che tale falla fosse decisamente grave non a caso appena resa pubblica sono subito corsi a chiuderla

Non è così grave, XSS+CSRF a cavalcioni della sessione dell'utente autenticato è un 6.5 medio, massimo 8.1 alto, ma non grave e critica come altre istanze.

Quote:

Originariamente inviato da biometallo

anzi mi chiedo se nel caso in cui venisse scoperto che durate in tempo in cui tweeter\x era stata informata di tale falla si scoprisse che sia stata effettivamente usata per compiere degli attacchi malevoli se tweeter\x non ne sarebbe stata responsabile e magari chiamata perfino a risarcirne i danni, dato che hanno di fatto volutamente trascurato l'evidente pericolo.

No, perché non è un data breach e non sono tenuti ad informare nessuno di alcunché sotto alcuna giurisdizione. Sono affari interni del SOC.

Quote:

Originariamente inviato da nebuk

Però credo che ci sia stato un problema di comunicazione anche da parte di X.
Se ti segnalano un bug del quale sei già al corrente, dovresti almeno far riferimento ad un ticket che riporti la data della segnalazione precedente.
Altrimenti basterebbe dire "si grazie ma lo sapevo già" per non pagare più nessuno.

I problemi di comunicazione partono dagli hacker che inviano queste segnalazioni. 4 casi su 5 infarciscono i report di emerite stronzate dai toni allarmanti e urgenti o direttamente aggressivi per farsi pagare. Da lì in poi la comunicazione si sgretola perché non tutti i team di sicurezza sono composti da perfetti idioti o gente di marketing, quindi automaticamente l'autore della segnalazione viene considerato un maleducato.

Per quanto riguarda invece il "sì grazie ma lo sapevo già", fornire le evidenze agli utenti non è sempre consentito poiché i ticket interni contengono a) PII di altri utenti b) proof-of-concept e vettori ancora non noti c) movimenti laterali o verticali non rivelati e non noti all'autore tardivo. Le evidenze di un duplicato sono gestite internamente e sono provviste alla piattaforma responsabile quando necessario. In questo caso, se HackerOne ha preso le parti dell'hacker ed ha chiesto a Twitter le prove del ticket interno, Twitter ha fornito ad HackerOne le prove necessarie. Queste prove possono o non possono essere condivise con il ricercatore che, in ogni caso, è legalmente tenuto a seguire pedissequamente i termini ai quali ha acconsentito.

[Notturnia]

la prossima volta gli conviene vendere il bug a qualcuno che lo sfrutti visto che in X sono diventati tutti [censura]

d'altro canto.. visto come butta..

[h.rorschach]

Quote:

Originariamente inviato da Notturnia

la prossima volta gli conviene vendere il bug a qualcuno che lo sfrutti visto che in X sono diventati tutti [censura]

d'altro canto.. visto come butta..

Nessuno si comprerebbe mai un bug così. Non sono quelle le cose che hanno mercato nel dark web. Zero.

[bio82]

Quote:

Originariamente inviato da h.rorschach

4. Nessuno ha parlato di crimini, ma ha commesso un illecito. Ha trasferito la proprietà intellettuale del report ad un'entità terza che vieta di discuterne in pubblico, per poi discuterne in pubblico. Ci sono basi giuridiche per una causa, ma nessuna compagnia vuole farsi cattiva pubblicità

parlare di illecito è molto vago...essendo giusto un illecito morale, secondo me quando dall'altra parte non rispettano un contratto, tu non sei tenuto a rispettarlo... visto che il moralmente vale entrambi i lati...

bio