Un utente di Twitter ha scoperto un bug che avrebbe potuto consentire a malintenzionati di prendere il controllo dei profili degli utenti: sarebbe bastato un click su un link fraudolento per renderlo possibile.
di Rosario Grasso pubblicata il 14 Dicembre 2023, alle 11:01 nel canale Web
Ring Intercom su Amazon: citofono smart con apertura a distanza e Alexa a metà prezzo con un coupon
Addio regie complicate: un'AI gestirà i tuoi livestream con NVIDIA RTX
Xbox, nuovo aumento dei prezzi negli Stati Uniti: l'edizione speciale tocca quota 800 dollari
Adesso ci si può laureare in storia grazie a GTA: il primo corso all'università del Tennessee
Impact.com ridefinisce il performance marketing e presenta le novità della piattaforma
Nintendo non considera le mod dannose per le proprietà intellettuali
Dreame inaugura il suo flagship store a CityLife Milano e consolida la leadership nel mercato italiano
OpenAI e Jony Ive: in arrivo un dispositivo AI simile a uno smart speaker
TikTok, secondo Trump l'accordo con Xi è cosa fatta. Ma Pechino resta vaga
HUAWEI, tutte le novità dell'evento Ride The Wind, tra WATCH Ultimate 2, FreeBuds 7i e MatePad 12 X
Mercedes GenH2 Truck sulle Alpi: oltre 10.000 km di test per il camion a idrogeno
Shadow Leak: ecco come ChatGPT poteva essere usato come complice per trafugare informazioni riservate da Gmail
Google Gemini 2.5 batte quasi tutti gli umani all'ICPC: risolve un problema impossibile per 139 squadre
Battlefield 6: i giocatori console non potranno escludere quelli PC, Electronic Arts chiarisce
Panasonic 55Z95BEG cala gli assi: pannello Tandem e audio senza compromessi
Con un prezzo di 2.999 euro, il Panasonic Z95BEG entra nella fascia ultra-premium dei TV OLED: pannello Primary RGB Tandem, sistema di raffreddamento ThermalFlow,...
Sottile, leggero e dall'autonomia WOW: OPPO Reno14 F conquista con stile e sostanza
OPPO Reno14 F 5G si propone come smartphone di fascia media con caratteristiche equilibrate. Il device monta processore Qualcomm Snapdragon 6 Gen 1, display AMOLED...
Un fulmine sulla scrivania, Corsair Sabre v2 Pro ridefinisce la velocità nel gaming
Questo mouse ultraleggero, con soli 36 grammi di peso, è stato concepito per offrire un'esperienza di gioco di alto livello ai professionisti degli FPS, grazie al...
Fujifilm X-E5: la Fuji X che tutti gli appassionati volevano
Dopo il fascino un po’ elitario della GFX100RF e le polemiche intorno a x Half, la nuova Fujifilm X-E5 riporta tutti d’accordo: una mirrorless compatta, leggera,...
Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia
MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...
Nokia Innovation Day 2025: l’Europa ha bisogno di campioni nelle telecomunicazioni
Dal richiamo di Enrico Letta alla necessità di completare il mercato unico entro il 2028 alla visione di Nokia sul ruolo dell’IA e delle reti intelligenti, il Nokia...
Nuova Ford Capri elettrica, la super prova: in viaggio, in città e in autostrada
Dopo diverse prove, da poche ore al volante, fino a un'intera settimana come prima auto, possiamo riportarvi tutti i dettagli e le impressioni sulla Ford Capri elettrica...
Ecovacs Deebot X11 Omnicyclone: niente più sacchetto per lo sporco
Deebot X11 Omnicyclone implementa tutte le ultime tecnologie Ecovacs per l'aspirazione dei pavimenti di casa e il loro lavaggio, con una novità: nella base di ricarica...
Membro della European Hardware Association
Un fulmine sulla scrivania, Corsair Sabre v2 Pro ridefinisce la velocità nel gaming
Nokia Innovation Day 2025: l’Europa ha bisogno di campioni nelle telecomunicazioni
Sottile, leggero e dall'autonomia WOW: OPPO Reno14 F conquista con stile e sostanza
24 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infotu non me lo paghi? visto che è stato bannato dal programma, come già scritto, lui non pubblicherà più i bug e li venderà nel dark web...
lui ha pubblicato un bug dopo che per 1 anno non è stato risolto... se l'avessero pagato non l'avrebbe fatto...
dato che non ha commesso crimini e non ha violato nessuna legge, non è perseguibile (eccetto essere bannato dalla piattaforma ovviamente)...
considerando che pubblicandolo non ci ha guadagnato, ha fatto solo esclusivamente bene...
bio
lui ha pubblicato un bug dopo che per 1 anno non è stato risolto... se l'avessero pagato non l'avrebbe fatto...
dato che non ha commesso crimini e non ha violato nessuna legge, non è perseguibile (eccetto essere bannato dalla piattaforma ovviamente)...
considerando che pubblicandolo non ci ha guadagnato, ha fatto solo esclusivamente bene...
bio
1. Il lavoro si paga quando il lavoro è richiesto. I tuoi report non sono lavoro contrattualizzato né richiesto (benché benvenuti sotto le regole che sottoscrivi). Non c'è alcun obbligo da parte della compagnia di accettare o pagare alcunché perché la compagnia non ti ha chiesto di fare nulla: lo fai di tua scelta
2. Il programma ha giustamente bannato il cretino perché ha divulgato dettagli di una cosa che non era più sua (visto che quando invii il report hai trasferito la proprietà intellettuale e quelle parole non appartengono più a te). Che la vulnerabilità sia valida o meno non influisce su ciò: il trasferimento avviene sui contenuti
3. Il dark web non è interessato alle CSRF chain
4. Nessuno ha parlato di crimini, ma ha commesso un illecito. Ha trasferito la proprietà intellettuale del report ad un'entità terza che vieta di discuterne in pubblico, per poi discuterne in pubblico. Ci sono basi giuridiche per una causa, ma nessuna compagnia vuole farsi cattiva pubblicità
5. Ha fatto benissimo, infatti ora è in lista nera
Il momento in cui il cretino ha inviato il report a Twitter, l'opera non era più di sua proprietà. Da lì è responsabilità del programma (Twitter) e della piattaforma (HackerOne) farne ciò che vogliono: accettarla e risolverla con o senza retribuzione, considerarla basso rischio e rifiutarla, farci coriandoli per carnevale. In nessuno dei casi l'autore del report ha il diritto di discuterne i dettagli con alcuno (men che meno in pubblico) senza l'autorizzazione scritta della compagnia alla quale ne ha trasferito i diritti d'autore.
La persona in questione ha dimostrato zero professionalità e completa mancanza di serietà, nonché scarse capacità di comunicazione in un ambiente critico. Vorrei sperare fosse perseguibile e perseguito, ma ahimé queste corporazioni odiano la cattiva pubblicità e si metteranno a novanta pur di evitare di passare per i cattivi pur avendo piena ragione.
Quindi se ho capito bene potrebbe essere perseguito per aver diffuso il report del bug non avendo i diritti d'autore su tale report perchè aveva perso tali diritti sottomettendolo al programma di bounty?
Se non avesse inviato il report a twitter, ma avesse subito reso pubblico il bug, dicendo "ei twitter hai questo bug, lo sapevi?", non sarebbe stato perseguibile?
Quindi se neghi che sia grave e la ricompensa non c'è nessuna accordo di non divulgazione.
Inoltre se neghi che sia grave non è che poi puoi bannarlo per comportament incauto, tanto non era grave no?
Da ignorante concordo, anzi direi che è palese che tale falla fosse decisamente grave non a caso appena resa pubblica sono subito corsi a chiuderla, anzi mi chiedo se nel caso in cui venisse scoperto che durate in tempo in cui tweeter\x era stata informata di tale falla si scoprisse che sia stata effettivamente usata per compiere degli attacchi malevoli se tweeter\x non ne sarebbe stata responsabile e magari chiamata perfino a risarcirne i danni, dato che hanno di fatto volutamente trascurato l'evidente pericolo.
In effetti è quanto meno curioso, ma io ci trovo anche una logica, nel cercare di dare un certo tono all'articolo si ricorre da una parte a termini tecnici come "bounty" (come si è fatto anche con altri termini di cui si è volutamente ignoranto il corrispettivo italiano come "scalper" "notch" eccc... ) e dall'altra con termini più ricercati... credo comunque che anche tu abbia commesso un piccolo errore, quel "poco desueti" dato che desueti significa caduti in disuso credo che quel poco sia di troppo.
Per assoluta definizione, comunque, un attacco che richiede interazione da parte della vittima, metrica UI nello standard CVSS, non può essere critica perché il punteggio massimo ottenibile è 8.6 con C:H I:H senza arrivare a 9.0 per essere definito "critico".
Però credo che ci sia stato un problema di comunicazione anche da parte di X.
Se ti segnalano un bug del quale sei già al corrente, dovresti almeno far riferimento ad un ticket che riporti la data della segnalazione precedente.
Altrimenti basterebbe dire "si grazie ma lo sapevo già" per non pagare più nessuno.
Potrebbe ma non lo sarà mai perché sarebbe pessima pubblicità per Twitter e HackerOne che non vogliono compromettere la loro postura di volemosebene. L'invio del report è un trasferimento di proprietà intellettuale, l'utente non aveva alcun diritto di pubblicare qualcosa che non era più suo
Dipende. Accettare i termini di un BBP o VDP implica la presenza di un "safe harbor" che consente effettivamente ai ricercatori di attaccare entro certi limiti un'organizzazione senza conseguenze legali. Se il ricercatore si mantiene entro i limiti stabiliti dalle policy, qualunque causa nei loro confronti cadrebbe in sede di giudizio. Occhio che ho specificato "entro certi limiti", ci sono cose non accettabili indipendentemente dal "safe harbor". La vulnerabilità qui discussa era certamente entro questi limiti, il comportamento che ne è scaturito invece no
Non è così grave, XSS+CSRF a cavalcioni della sessione dell'utente autenticato è un 6.5 medio, massimo 8.1 alto, ma non grave e critica come altre istanze.
No, perché non è un data breach e non sono tenuti ad informare nessuno di alcunché sotto alcuna giurisdizione. Sono affari interni del SOC.
Se ti segnalano un bug del quale sei già al corrente, dovresti almeno far riferimento ad un ticket che riporti la data della segnalazione precedente.
Altrimenti basterebbe dire "si grazie ma lo sapevo già" per non pagare più nessuno.
I problemi di comunicazione partono dagli hacker che inviano queste segnalazioni. 4 casi su 5 infarciscono i report di emerite stronzate dai toni allarmanti e urgenti o direttamente aggressivi per farsi pagare. Da lì in poi la comunicazione si sgretola perché non tutti i team di sicurezza sono composti da perfetti idioti o gente di marketing, quindi automaticamente l'autore della segnalazione viene considerato un maleducato.
Per quanto riguarda invece il "sì grazie ma lo sapevo già", fornire le evidenze agli utenti non è sempre consentito poiché i ticket interni contengono a) PII di altri utenti b) proof-of-concept e vettori ancora non noti c) movimenti laterali o verticali non rivelati e non noti all'autore tardivo. Le evidenze di un duplicato sono gestite internamente e sono provviste alla piattaforma responsabile quando necessario. In questo caso, se HackerOne ha preso le parti dell'hacker ed ha chiesto a Twitter le prove del ticket interno, Twitter ha fornito ad HackerOne le prove necessarie. Queste prove possono o non possono essere condivise con il ricercatore che, in ogni caso, è legalmente tenuto a seguire pedissequamente i termini ai quali ha acconsentito.
d'altro canto.. visto come butta..
d'altro canto.. visto come butta..
Nessuno si comprerebbe mai un bug così. Non sono quelle le cose che hanno mercato nel dark web. Zero.
parlare di illecito è molto vago...essendo giusto un illecito morale, secondo me quando dall'altra parte non rispettano un contratto, tu non sei tenuto a rispettarlo... visto che il moralmente vale entrambi i lati...
bio
Se lì ci sono clausole che dicono cosa fare e cosa non fare, allora ci si deve attenere, altrimenti bisogna valutare tutte le circostanze possibili che possono verificarsi a seguito di un'azione non pensata a fondo.
In questo caso specifico, dato che era una falla grave, poteva magari inviare giornalmente ripetute email di segnalazione.
Concordo col tuo ragionamento ma poi nella pratica, ammesso che non si cerchi
di ottenere elogi e/o quant'altro, è meglio farsi gli affari propri.
Dalle mie parti si dice che se trovi un paio di corna per strada non devi raccoglierle
ed indossarle per farti bello.
Certe volte, l'ingenuità porta a fare delle "operazioni" sbagliate anche se fatte
in buona fede; a me a volte è capitato, ma poi ci si rialza e si continua a camminare nel sentiero della vita:
https://www.youtube.com/watch?v=FrRaPtbc-ac
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".