この脆弱性は、水曜日に公開され、迅速な修正が行われたが、それを公開したユーザーには叱責がありました。Twitterのバグ報奨金プログラムから金銭的な報奨を受けることができず、そのユーザーは参加禁止となりました。
私はこのバグレポートを送信し、報奨金を受け取りませんでした。あなたはこのバグが1年間存在していたと言いました。それをこのように長い間修正しなかったのであれば、このバグは重要ではないと思われ、私は公開しました。
twitter.com/R9X4k8KqMZ
— rabbit (@rabbit_2333) December 12, 2023ADADこの情報は匿名のTwitterユーザー@rabbit_2333によって公開されました。彼はTwitterのアナリティクスのサブドメインに存在するXSSの脆弱性を共有し、攻撃者が第三者のプロファイルにアクセスし、アカウントのパスワードを変更することはできないものの、ほとんどのことを行うことができると伝えました。このハックには、クロスサイトスクリプティング(XSS)とクロスサイトリクエストフォージェリ(CSRF)が使用されました。
XSS攻撃は、有害なスクリプトをWebページに注入することを許容するものであり、CSRFは既に認証済みのWebアプリ上でユーザーにアクションを実行させるトリックです。Twitterのバグは両方の方法を利用しており、特に危険です。XSSを悪用することで、攻撃者はWebセキュリティ対策をバイパスし、ユーザーアカウントに不正アクセスすることができます。
この脆弱性が広まるにつれ、スマートコントラクト分析プラットフォームFuzz.Lanの共同創設者Chaofan Shouが詳細を提供しました。彼はこの未解決の脆弱性を基にしてパワフルなエクスプロイトツールを簡単に構築できること、バグの動作方法と起こり得る被害の詳細な説明を提供しました。
😝ここにTwitter XSS + CSRFの脆弱性の完全な開示があります。ある特定のリンクをクリックしたり、特定のWebページに移動することで、攻撃者はあなたのアカウントを乗っ取ることができます(投稿、いいね、プロファイルの更新、アカウントの削除など)。
twitter.com/MVJ1MvHt6H
— Chaofan Shou (@shoucccc) December 13, 2023ADADShouに続いて、サイバーセキュリティ研究者のSam Sunがコメントを発表し、エクスプロイトを回避するための実践的なアドバイスを提供し、ブラウザ経由でTwitterを使用している場合でも安全性が不足していることを指摘しました。
もしもあなたが携帯電話のブラウザでTwitterを使用している場合、拡張機能をインストールすることができないため、ログアウトしてアプリを使用してください(もしくはアプリでTwitterを数日間使わないか、アプリを使うことにこだわらないならば)。
— samczsun (@samczsun) December 13, 2023Sunは、プライバシーに配慮したウェブブラウザであるBraveがエクスプロイトを防ぐことができたと指摘しました。
この公開開示に続いて、Twitterの対応は迅速でした。数時間内に、彼らは脆弱性を修正しました。これはSunによって確認されました。しかしながら、この深刻な欠陥にもかかわらず、@rabbit_2333はその発見に報奨金を受け取ることはありませんでした。
代わりに、彼はTwitterのバグ報奨金プログラムからの追放を通知されました。「Twitterさん、ありがとう」とユーザーは書き込み、Twitterの追放通知のスクリーンショットを添付しました。@rabbit_2333がバグについて公開すべきかどうかに関するコメントが殺到する中、ユーザーは最初に適切な手順に従ったと主張しました。
Twitterが重症度と報奨金の対象でないとしても、彼らが公開する前になぜかは、彼らは適切な手順に従ったのだとユーザーは述べました。
私はこのバグレポートを送信し、報奨金を受け取りませんでした。あなたはこのバグが1年間存在していたと言いました。
そのように長い間修正されていなかったのであれば、このバグは重要ではないと思われ、私はそれを公開しました。
twitter.com/R9X4k8KqMZ
— rabbit (@rabbit_2333) December 12, 2023バグ報奨金プログラムの目的は、このような事件を防止することであり、開発者が報奨金と引き換えにセキュリティ上の問題を発見し、企業が修正するまで開示しないという合意を促進します。
バグ報奨金プログラムはソフトウェア開発だけでなく、特にスマートコントラクトの取り扱いにおいては一般的です。このようなプログラムを実行することは課題がありますが、セキュリティ侵害を防ぐことは通常、努力に値すると見なされます。
ホワイトハットとバグ報奨金のインセンティブプログラムでは、通常、脆弱性を機密に保持することが要求されます。しかし、ソフトウェア開発者が適時に対応するために、期限が設定されることもあります。翻訳:@ryuzm
