חוקר אבטחה מצרי: חולשה בטוויטר מאפשרת מחיקת כרטיסי האשראי של כל המשתמשים
ב-16 ספטמבר נמסר על חולשה שהתגלתה בטוויטר המאפשרת להאקרים למחוק פרטי כרטיסי אשראי מחשבונות המשתמשים.
חוקר אבטחה מצרי, אחמד מחמד חסן אבו אל-עלא אשר באמתחתו פרסים רבים מענקיות דוגמת גוגל, מיקרוסופט ואפל, גילה כי ברשת חברתית זו קיימת חולשה קריטית בשרות הפרסומות. זו אפשרה לו ככל הנראה למחוק פרטי כרטיסי אשראי מכל חשבון טוויטר. לדבריו, החולשה קריטית ובעלת סיכון גבוה בשל העובדה שכל שנדרש כדי למחוק את כרטיסי האשראי הוא מזהה כרטיס אשראי המורכב משש ספרות בלבד דוגמת '220152'. לפיכך, לטענת הכתבה, כל האקר בעל ידע בסיסי בתכנות יוכל ליצור תוכנית המשתמשת בלולאה בת שישה מספרים ולמחוק את כל כרטיסי האשראי מחשבונות טוויטר, דבר אשר יגרום להפסדים כבדים לחברה.
החוקר מצא שתי חולשות נפרדות ב- ads.twitter.com וצרף עדות המוכיחה את טענתו. החולשה הראשונה התגלתה על ידו בעת מחיקת כרטיס אשראי בעמוד 'שיטות תשלום', פעולה השולחת לשרת שני פרמטרים בלבד; מספר מזהה של חשבון הטוויטר (Account) וכן מספר כרטיס האשראי (ID). הוא מסר כי כל שהיה עליו לעשות הוא לשנות את שני הפרמטרים לאלו של חשבון טוויטר אחר שלו ולשלוח את הבקשה שנית, על מנת לגלות שפרטי כרטיס האשראי נמחקו מחשבונו האחר, ללא כל צורך במעורבות כלשהי. בכתבה נטען כי נסיון שכזה החזיר שגיאה מסוג '403 forbidden', אולם החוקר מסר כי פרטי האשראי אכן נמחקו בנסיון שביצע.
החולשה השניה התגלתה בעת נסיון להוסיף כרטיס אשראי לא תקף לחשבון הטוויטר. בנסיון שכזה הוצגה הודעת השגיאה "איננו יכולים לאשר את הכרטיס שהזנת" תוך הצגת כפתור 'בטל', אולם משעה שכפתור זה נלחץ נמחק כרטיס האשראי מהחשבון. בניגוד לחולשה הראשונה, הנתון של מספר חשבון הטוויטר אינו קיים כלל בבקשה זו ורק מספר כרטיס האשראי. החוקר מסר כי הוא שינה את מספר כרטיס האשראי שבכתובת ה-URL והכניס מספר כרטיס מחשבון טוויטר אחר שברשותו וביצע שנית את השאילתא. עם שליחתה טוויטר ביטלה את פרטי כרטיס האשראי מהחשבון האחר.
פוסט זה זמין גם ב:
العربية