Endişelenmenize gerek yok çünkü keşfedilen açık iki gün içinde kapatıldı ve açığı bulan kişi ödüllendirildi
Bir güvenlik uzmanı, dünyanın en popüler mikro blog sitesi olan Twitter’daki reklam kodlamasında ciddi bir güvenlik açığı keşfetti. Bu açık kullanıldığı takdirde bilgisayar korsanları, kurbanın profiline erişmek zorunda kalmaksızın başka bir hesaptan kurbanın paylaşımında değişiklik yapabilir.
Beyaz şapkalı bilgisayar korsanı 22 Mayıs günü bir blog yazısında Twitter’ın hatalarını araştırırken bir açık bulduğunu iddia etti. Herhangi biri tarafından, bu açığı kullanılarak Twitter ağına bağlanıp paylaşım yapılabilme imkanı tanıyan açık sayesinde siber suçluların eline bir fırsat geçebileceğini belirtti.
Güvenlik açığı ilk olarak 26 Şubat 2017 tarihinde keşfedildi ve iki gün sonra açık kapatıldı.
Kedrisch olarak bilinen bilgisayar korsanı bu açığı Twitter’ın hata bulma servisine bildirdi. Hata bulma servisi, açıkları bulanları ödüllendiriyor ve HackerOne kuruluşu tarafından yönetiliyor.
Kedrisch açığı bildirdiği için 7,560 dolar ödül aldı.
Bulduğu açık Twitter’ın reklam kodlamaları ile ilgiliydi. Aslında araştırmacılar sistemin medya kütüphanesine video, resim ve gif gibi dosyalar yüklerken açıkların oluştuğunu bildirmişti.
Twitter’ın yaptığı açıklamaya göre uzmanlar, Twitter Reklam Stüdyosu’nun istemcilerini gözden geçirirken herhangi bir kullanıcının tweetine saldırı olanağı veren bir açık bulduklarını belirtti.
Mağdurun yapmış olduğu paylaşımdan sonra mağdurun kimliği ve yapmış olduğu payşalım değiştirilecekti. Açık kapatıldı ve herhangi biri tarafından bu açığın kullanıldığına dair bir bulguya rastlanmadı.
Halktan biri olarak bilinen ve 2014 model bir Jeep Cherokee’yi uzaktan ele geçiren güvenlik uzmanı Charlie Miller attığı tweette detay vermeden şunları söyledi: “Twitter’ın eski bir uygulama güvenlik yöneticisi olarak söylemek istediğim şudur ki; kodların
reklam ekibinden alındığına hiç şaşırmadım. “
Kedrisch geçtiğimiz aralık ayında Twitter’ın resmi forumundaki yorumların değiştirilebileceği daha az önem taşıyan bir açık bulduğu için 1.120 dolar ödül kazanmıştı. Bu olay 12 Mayıs 2017’de resmi olarak açıklanmıştı.
Yakın geçmişte Twitter, Vine servisini kullananların e-posta adreslerini ve telefon numaralarını üçüncü kişilerin erişebileceği bir açık konusunda uyarmıştı. Etkilenen Vine servisini kullanıcılarına gönderilen e-postada, son 24 saat içerisinde Vine arşivdeki verilerin etkilendiğini bildirdi.
2012’de Twitter tarafından satın alınan Vine’ın sene başlarındaki yoğun iş temposunda çok kullanılan kısa video yayımlama uygulamasını kapatma kararı almıştı.
Twitter, Vine kullanıcılarına gönderiği e-postada, bu bilgilerin hesaplara erişmek için doğrudan kullanılamayacağını vurguladı ayrıca bunun kötüye kullanıldığını gösteren herhangi bir veri olmadığını belirtti. Bu tür olayları ciddiye aldıklarını ve böyle bir şeyin olduğundan dolayı üzgün olduklarını sözlerine ekledi.
