นักวิจัยด้านความปลอดภัยที่ใช้ชื่อในวงการว่า Kedrisch ได้เปิดเผยช่องโหว่เมื่อวันอังคารที่ผ่านมาบนบล็อกของตนเองว่า แพลตฟอร์มสำหรับนักโฆษณาบนทวิตเตอร์อย่าง Twitter Ads Studio มีบั๊กร้ายแรงแฝงอยู่ในไลบารีที่ผู้ใช้ใช้รีวิวสื่อที่จะลงโฆษณาก่อนออกเผยแพร่จริง
โดยระหว่างขั้นตอนการร้องขอให้เผยแพร่ทางทวิตเตอร์นั้น ระหว่างการแชร์สื่อดังกล่าวให้เหยื่อเป้าหมายตรวจสอบนั้น แฮ็กเกอร์สามารถปรับแต่งคำสั่งร้องขอด้วยไอดีของเหยื่อ เพื่อให้สื่อโฆษณาที่จะลงทวิตเตอร์ดังกล่าวถูกโพสต์โดยไอดีของเหยื่อแทนไอดีของผู้ลงโฆษณา ซึ่งการปรับแต่งนี้ไม่จำเป็นต้องใช้รหัสผ่านของบัญชีผู้ใช้ของเหยื่อแต่อย่างใด
บั๊กนี้ถูกส่งรายละเอียดให้ทางทวิตเตอร์ผ่านโครงการล่าค่าหัวบั๊กที่จัดขึ้นในชื่อ HackerOne ซึ่งทางทวิตเตอร์เองก็ได้ออกแพ็ตช์มาอุดช่องโหว่นี้ภายในสองวัน ตั้งแต่วันที่ 28 กุมภาพันธ์ที่ผ่านมา พร้อมให้รางวัลแก่นักวิจัยด้านความปลอดภัยที่ค้นพบบั๊กนี้ด้วยมูลค่าสูงถึง 7,560 ดอลลาร์สหรัฐฯ
ในช่วงปี 2557 – 2559 ที่ผ่านมานั้น ทางทวิตเตอร์ได้ให้รางวัลผู้ที่ค้นพบช่องโหว่ของตัวเองมาแล้ว รวมมูลค่ามากกว่า 322,000 ดอลลาร์ฯ โดยมีจำนวนบั๊กที่ถูกค้นพบจากโครงการนี้มากกว่า 5,000 รายการ ซึ่งรวมถึงบั๊กสำคัญอย่าง XSS และ HTTP Response ด้วย
ที่มา : http://www.zdnet.com/article/twitter-flaw-allowed-you-to-tweet-from-any-account/
