【速報】TwitterのXSS脆弱性が公開され、報奨金を受け取らずに発表者がバーゲンされる

一年以上にわたり、Twitterで作成された悪意のあるリンクをクリックするだけで、アカウントが乗っ取られ、ツイートやリツイート、いいね、または他のユーザーをブロックすることができました。この脆弱性は、水曜日に公に開示され、早急な修正が行われました。しかし、セキュリティ専門家がこの脆弱性を文書化したことで、Twitterは彼を報奨金プログラムから追放しました。被験者は、この脆弱性を公にする前に、正式な手順に従ったと主張しています。

Twitter XSS + CSRF脆弱性の公開文

Twitterの分析サブドメインのXSS脆弱性が悪用されると、攻撃者は第三者のプロフィールにアクセスし、アカウントのパスワードを変更することを除いて、ほぼすべての操作を実行できます。この脆弱性の存在が公になって以降、注意深い対応が必要とされています。

Chaofan Shouの発言

この未解決の脆弱性に基づいた強力なエクスプロイトツールを構築することがどれほど簡単かを明らかにし、このバグが動作する仕組みと引き起こす潜在的な損害について詳細に説明しました。サイバーセキュリティ研究者のSam Sunは、実際の助言を提供し、Twitterをブラウザの電話で使用するユーザーに対して、この脆弱性を回避する方法を示しました。

Bug Bounty Programの問題点

報奨金プログラムの目的は、このようなインシデントを防ぐことであり、開発者に報奨金と契約を与えてセキュリティホールを発見することを奨励します。