news

Jak Twitter wpadł w dziurę

Informowaliśmy wczoraj o dziurze w oprogramowaniu Twittera, która umożliwiała każdemu użytkownikowi zmuszenie innej osoby do śledzenia jego konta. Dziura została już załatana, ale nas interesuje, jak w ogóle doszło do takiej wpadki. Okazuje się, że błąd w skrypcie wykrył przez przypadek Bora Kirca, turecki użytkownik Twittera. Jego konto jest na razie zablokowane.

Jak do tego doszło, wyjaśnia inny użytkownik, Güntekin: „Bora chciał zaakceptować zaproszenie od grupy ‚Accept’ i napisał ‚accept pwnz’. Odkrył, że użytkownik z nickiem ‚pwnz’ dołączył do grupy osób śledzących jego tweety.” Domyślił się mechanizmu działania buga i natychmiast wpadł z dziewczyna na pomysł, by zmusić w podobny sposób znane osoby, by zaczęły go śledzić na Twitterze. Wszystko opisał na swoim blogu po turecku.

Wiadomość wyciekła i wielu innych użytkowników zaczęła się zabawiać w podobny sposób. Twitter się wściekł i wyzerował wszystkim konta. Nawet Ashtonowi Kutcherowi:

The Real Story Behind Twitter's Ridiculous Follow Bug

Jak to możliwe, że wystarczyło wpisać „accept username”, by zmusić kogoś do śledzenia twoich tweetów? Wynika to z reagowania systemu na komendy tekstowe. Wpiszcie „STATS”, a otrzymacie dane o statystykach konta, „FOLLOW USERNAME” sprawia, że zaczynacie śledzić czyjeś posty. Do niedawna nie wiedzieliśmy, do czego może się przydać „ACCEPT „. Teraz już wiemy.

Twitter zareagował, zerując na pewien czas liczby profili śledzących i śledzonych przez danego użytkownika. Zapewnił, że pracuje nad poprawieniem błędu. Teraz wszystko wróciło do normy. Gorzej, że błąd w oprogramowaniu istniał zapewne od dłuższego czasu. Ciekawe, kto zdążył z niego skorzystać.

Jak powiedział Gazecie ekspert od zabezpieczeń, Piotr Konieczny, bug był wynikiem „braku weryfikacji kontroli dostępu do funkcji odpowiedzialnej za dodawanie użytkowników do przyjaciół”. Innymi słowy, system nie sprawdzał, czy osoba zmuszana do śledzenia hackera faktycznie go zaprosiła. Domyślnie zakładał, że tak.

Bora nie spodziewał się, że znajdzie tylu naśladowców i że rozpęta się taka burza. Twitter został skompromitowany, ale zapewne wkrótce wszyscy o tym zapomną. Oby tylko nie miał w zanadrzu innych niesprawdzonych komend. Zresztą na pewno ktoś to dziś weryfikuje. [John Herrman/giz, Gazeta]


podobne treści


  • dfgsedgse

    ciekawe czy tak samo działa skrypt na BLIP….

  • kindof

    omfg tragedia w branży, dziura w twitterze sparaliżowałą umysły geeków, notowania na giełdach lecą w dół, eksperci od zabezpiecznień uspokajają: to tylko przepełninie bufora dzieleniem przez zero!