Un error en la plataforma de anuncios de Twitter permitía que cualquier persona pudiera publicar desde la cuenta de otro usuario, situación que nadie notó excepto un investigador de seguridad que descubrió el problema y lo reportó.
"El investigador descubrió una falla en el manejo de solicitudes de Twitter Ads Studio que permitía a un atacante tuitear como cualquier usuario", indicó Twitter en la plataforma HackerOne. Agregaron que "al compartir medios con un usuario víctima y luego modificar la solicitud de publicación con el ID de esa cuenta, los medios en cuestión se publicaban desde la cuenta de la víctima".
El procedimiento consistía en modificar el código que se envía a Twitter Ads Studio para publicar un tuit desde la cuenta de cualquier persona, sin necesidad de hackearle el perfil o conocer su contraseña. El investigador descubrió el bug el pasado mes de febrero tras varios días buscando errores para reportarlo y reclamar una recompensa, informa el portal Gizmodo.
El hacker reportó la situación a Twitter el 25 de febrero y la compañía lo recompensó con 7.560 dólares, una cifra más bien baja para un problema tan significativo (el programa de bug bounty de Twitter ofrece hasta 15 mil dólares por reporte). La compañía tardó tres días en solucionar el problema.
