任意のTwitterユーザーになりすませる脆弱性が判明--解決済み

Charlie Osborne (ZDNet.com) 翻訳校正: 編集部2017年05月25日 08時48分
  • このエントリーをはてなブックマークに追加

 Twitterに何年もの間検出されなかったセキュリティ脆弱性が存在していたことが明らかになった。攻撃者はこれを利用することで、任意のユーザーになりすましてメッセージを投稿することができた。

 Kedrischというハンドルネームのセキュリティ研究者が4月にこの脆弱性を公表している。この脆弱性は、Twitterに2月28日まで存在していたという。

 広告主らがメディアやコンテンツをアップロードするプラットフォームで発見されたこの深刻なバグは、ユーザーが公開前にメディアを確認することのできるサービスライブラリに潜んでいた。

 メディアやツイートの公開を要求する際に、このメディアを攻撃対象者に共有し、その対象者のアカウントIDで投稿要求を変更する。そうすると、そのメディアは、攻撃者ではなく対象者のアカウントから自動的に投稿されることになる。

 コードのパラメータだけを変更すればよいので、攻撃対象者のアカウント認証情報を知らなくてもこの脆弱性を利用することができた。

 このバグは、HackerOneで提供されているTwitterの「bug bounty program」に報告された。Twitterは直ちに対応、わずか2日でこの脆弱性を修正し、2月28日にこの問題を解決した。

 前出のセキュリティ研究者には、7560ドルが謝礼として贈られた。

 Twitterは2014年から2016の間に、5000件を超える脆弱性の報告を受けて32万2000ドルを超える謝礼金を研究者らに支払っている。XSSの脆弱性に加え、それよりも深刻度の低いさまざまなバグがあった。

 

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加