Scopre un bug critico di Twitter, ma riceve un ban, non una ricompensa
Un utente di Twitter ha scoperto un bug che avrebbe potuto consentire a malintenzionati di prendere il controllo dei profili degli utenti: sarebbe bastato un click su un link fraudolento per renderlo possibile.
di Rosario Grasso pubblicata il 14 Dicembre 2023, alle 11:01 nel canale WebPer più di un anno, sarebbe bastato un clic su un link fraudolento per consentire a malintenzionati di prendere il controllo completo degli account personali degli utenti di X/Twitter. La vulnerabilità è stata resa pubblica nella giornata di mercoledì, dopo che è stata risolta. Ma, sebbene in casi come questi vi sia sempre un qualche tipo di ricompensa per lo sviluppatore che individua per primo la vulnerabilità, in questo caso è arrivata solamente una reprimenda.
Invece di assegnare una ricompensa in denaro del programma bug bounty di Twitter, all'utente in questione è stato proibito di far ritorno sulla piattaforma per l'individuazione dei bug della piattaforma. Si tratta dell'utente riconosciuto con il nickname @rabbit_2333, che ha condiviso come una vulnerabilità XSS sul sottodominio di analisi di Twitter poteva essere sfruttata per fornire a un utente malintenzionato l'accesso al profilo di una terza parte e la possibilità di fare quasi tutto ad eccezione del cambio della password dell'account.
I submitted this bug report and didn't receive a bounty. You told me that this bug has existed for a year. Seeing that you haven't fixed it for so long, it seems that this bug is not important, so I made it public. pic.twitter.com/R9X4k8KqMZ
— rabbit (@rabbit_2333) December 12, 2023
Quando si parla di attacchi XSS (cross-site scripting) ci si riferisce all'inserimento di script dannosi nelle pagine Web, mentre con la definizione di CSRF (Cross-site request forgery) alla pratica secondo cui si induce gli utenti a eseguire azioni su un'app Web su cui sono già autenticati. Entrambe le tecniche sono state sfruttate in questo attacco, che avrebbe potuto riguardare gli utenti che usano Twitter tramite il browser web, sia da piattaforma desktop che da mobile.
Non appena si è diffusa la notizia di questa vulnerabilità, Chaofan Shou, cofondatore della piattaforma di analisi Fuzz.Land, è intervenuto per fornire maggiori dettagli. Ha rivelato quanto sia stato facile creare un potente strumento di exploit basato su questa vulnerabilità non risolta e ha fornito una spiegazione dettagliata di come funzionava il bug e dei potenziali danni che avrebbe potuto causare.
😝 Here is the full disclosure of the Twitter XSS + CSRF vulnerability.
— Chaofan Shou (@shoucccc) December 13, 2023
Clicking a crafted link or going to some crafted web pages would allow attackers to take over your account (posting, liking, updating your profile, deleting your account, etc.) pic.twitter.com/MVJ1MvHt6H
La risposta del team X è stata immediata, subito dopo che la vulnerabilità è stata resa pubblica. Nel giro di poche ore il problema è stato risolto, ma @rabbit_2333 non è stato ricompensato per la scoperta. Invece, ha ricevuto una notifica di allontanamento dal programma di bug bounty.
Secondo il team tecnico di X, infatti, l'utente in questione ha reso pubblica la vulnerabilità in modo incauto. Anche la community ha espresso il proprio parere su tutta la situazione, con alcuni membri che hanno preso le difese di @rabbit_2333 mentre altri si sono schierati contro di lui. L'utente si è difeso affermando di aver inizialmente seguito il protocollo corretto: è stato solo quando X ha negato la gravità e l’idoneità per la bounty che ha deciso di rendere tutto pubblico.
Lo scopo dei programmi bug bounty è proprio quello di prevenire casi come questo: si incentivano gli sviluppatori a scoprire bug di sicurezza attraverso ricompense in denaro e al contempo si sottoscrive un accordo per la non divulgazione mentre l'azienda risolve il problema.
Un fulmine sulla scrivania, Corsair Sabre v2 Pro ridefinisce la velocità nel gaming
Nokia Innovation Day 2025: l’Europa ha bisogno di campioni nelle telecomunicazioni
Sottile, leggero e dall'autonomia WOW: OPPO Reno14 F conquista con stile e sostanza
iPhone Air: rischio flop? Dai tempi di consegna arriva una prima conferma
La modalità Xbox di Windows 11 è già attivabile su tutti gli handheld: ecco come
Display AMOLED curvo anche per i custom loop: arriva TRYX Panorama WB, ma vi costerà caro
ASUS riconosce il problema e avvia un'indagine sulle anomalie dei portatili ROG
Tencent si difende dall'accusa di plagio di Horizon con un documentario della stessa Sony
Ricchi sempre più ricchi: Kevin Durant, star NBA, recupera il wallet Bitcoin perso dal 2016
Aprono gli ordini per la nuova Fiat 500 Hybrid, si parte con la versione di lancio Torino
Il film sulla F1 è stato un successo clamoroso, e Apple valuta il sequel
Google, oltre 200 lavoratori AI licenziati: proteste su salari bassi e condizioni di lavoro
Ryzen 7 9800X3D supera il muro dei 7,3 GHz con Gigabyte
Ascend 950, 960 e 970: Huawei prepara il futuro degli acceleratori AI
Mitsubishi svela la Eclipse Cross elettrica, ma in realtà è una vecchia conoscenza
PS5 Slim Digital: la nuova revisione ha un SSD più piccolo ma costa uguale
Scoperto bug grave su Chrome: Google rilascia una patch di emergenza per la sesta 0-day del 2025
24 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoPer la questione premio, sbaglio o Lui ha detto di non volerne?
Si ma qualche riga prima viene detto che "X ha negato la gravità e l’idoneità per la bounty."
Quindi se neghi che sia grave e la ricompensa non c'è nessuna accordo di non divulgazione.
Inoltre se neghi che sia grave non è che poi puoi bannarlo per comportament incauto, tanto non era grave no?
P.s: solo io trovo incongruente un articolo che tira fuori termini poco desueti come "reprimenda" e poi usa "bounty" al posto di ricompensa o premio?
Fossi in lui, se trovassi altri bug, li venderei al mercato nero.
By(t)e
ha fatto bene
il bug è stato risolto poco dopo che il bug è stato reso pubblico,mentre non era stato risolto per un anno con il processo di bounty.
QUINDI
Il processo corretto e siccuramente più efficiente, per la piattaforma di X, è fare in modo che i big siano dichiarati pubblicamente.
Il momento in cui il cretino ha inviato il report a Twitter, l'opera non era più di sua proprietà. Da lì è responsabilità del programma (Twitter) e della piattaforma (HackerOne) farne ciò che vogliono: accettarla e risolverla con o senza retribuzione, considerarla basso rischio e rifiutarla, farci coriandoli per carnevale. In nessuno dei casi l'autore del report ha il diritto di discuterne i dettagli con alcuno (men che meno in pubblico) senza l'autorizzazione scritta della compagnia alla quale ne ha trasferito i diritti d'autore.
La persona in questione ha dimostrato zero professionalità e completa mancanza di serietà, nonché scarse capacità di comunicazione in un ambiente critico. Vorrei sperare fosse perseguibile e perseguito, ma ahimé queste corporazioni odiano la cattiva pubblicità e si metteranno a novanta pur di evitare di passare per i cattivi pur avendo piena ragione.
... il cretino....
manco avesse fatto un torto a te...
se mi paghi per il lavoro fatto io sto zitto... lui ha segnalato un bug critico con severità molto alta (accesso con 1 click a qualsiasi profilo lo definirei un bug priorità 0), non l'hanno pagato e nessuno ha sistemato il bug...il contratto tra lui e l'azienda non l'ha rispettato l'azienda per prima....
ha fatto benissimo a pubblicare il bug, in questo modo l'azienda ha dovuto chiudere la falla dimostrando (con la celerità utilizzata) che la falla era grave... considerando che altra gente l'avrà sicuramente sfruttata in silenzio in questo anno, l'azienda ha completamente torto...
il prossimo bug che troverà, dato i trascorsi, lo venderà nel dark web in modo da guadagnarci qualcosa e l'azienda (che con questa mossa ha perso tantissima credibilità
bio
se mi paghi per il lavoro fatto io sto zitto... lui ha segnalato un bug critico con severità molto alta (accesso con 1 click a qualsiasi profilo lo definirei un bug priorità 0), non l'hanno pagato e nessuno ha sistemato il bug...il contratto tra lui e l'azienda non l'ha rispettato l'azienda per prima....
ha fatto benissimo a pubblicare il bug, in questo modo l'azienda ha dovuto chiudere la falla dimostrando (con la celerità utilizzata) che la falla era grave... considerando che altra gente l'avrà sicuramente sfruttata in silenzio in questo anno, l'azienda ha completamente torto...
bio
Se non ti sta bene, non accetti i termini e non mandi i report. Le policy dei programmi di bug bounty sono chiare e limpide: la retribuzione (in quantità e possibilità
Per assoluta definizione, comunque, un attacco che richiede interazione da parte della vittima, metrica UI nello standard CVSS, non può essere critica perché il punteggio massimo ottenibile è 8.6 con C:H I:H senza arrivare a 9.0 per essere definito "critico".
Un utente di Twitter ha scoperto un bug che avrebbe potuto consentire a malintenzionati di prendere il controllo dei profili degli utenti: sarebbe bastato un click su un link fraudolento per renderlo possibile.
Hanno fatto bene quelli di twitter bannandolo...
così impara a farsi i fatti propri e chiù pilu per tutti (cit.)
lasciate i tecnici twitter/x a scovare i bug, non è piu come prima
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".