باحث أمني مصري: نقطة ضعف في التويتر تتيح محو بطاقات الائتمان لكافة المستخدمين
نشر في 16 سبتمبر أمر اكتشاف نقطة ضعق في التويتر تتيح للقراصنة محو تفاصيل بطاقات الائتمان من حسابات المستخدمين.
باحث الأمن المصري ,أحمد محمد حسن أبو علاء والذي بجعبته جوائز عديدة من عملاقات مثل غوغل , ميكروسوفت وأبل, اكتشف أن في هذه الشبكة الاجتماعية ثمة نقطة ضعف حساسة في خدمة الإعلانات. مما أتاحت كما يبدو محو تفاصيل بطاقات الائتمان من كافة حسابات تويتر.وقال, إن نقطة الضعف حساسة وتشكل خطراً فادحاً نظراً لحقيقة أن كل ما يتطلب لمحو بطاقات الائتمان هو كاشف بطاقة الائتمان المؤلف من ستة أرقام فقط مثل’220152.وفقاً لذلك, بوسع كل قرصان يملك معلومات أساسية بالبرمجة إنشاء برنامج يستخدم حلقة مؤلفة من ستة أرقام ومحو كل بطاقات الائتمان من حسابات تويتر, الأمر الذي يسبب خسائر فادحة للشركة.
وكتشف الباحث نقطتي ضعف منفردتين في – ads.twitter.com وأرفق دليلاً يثبت إدعاءه. واكتشف نقطة الضعف الأولى أثناء محو بطاقة ائتمان في صفحة”طرق الدفع”, وهذه العملية ترسل للخادم معلومتين فقط: رقم حساب التويتر(Account) و رقم بطاقة الائتمان (ID). وقال إن كل ما كان عليه القيام به هو تغيير المعلومتين لأخريين في حساب آخر له على التويتر وإرسال الطلب ثانية, ليكتشف محو تفاصيل بطاقة الائتمان من حسابه الآخر, دون الحاجة إلى أي تدخل . وأفاد المقال أن هذه التجربة أعادت خطأ من نوع ‘403 forbidden’, ولكن الباحث قال أن تفاصيل بطاقة الائتمان تم محوها بالفعل في التجربة التي قام بها.
وتم اكتشاف نقطة الضعف الثانية أثناء محاولة إضافة بطاقة ائتمان انتهى تاريخ مفعولها لحساب التويتر. في محاولة كهذه ظهر إعلان الخطأ ” ليس بوسعنا المصادقة على البطاقة التي أدخلتها ” أثناء إظهار زر الإلغاء”, ولكن منذ أن تم الضغط على هذا الزر يتم محو بطاقة الائتمان من الحساب. خلافاً لنقطة الضعف الأولى , فإن رقم حساب التويتر ليس وارداً قط في هذا الطلب وفقط رقم بطاقة الائتمان. وقال الباحث أنه قام بتغيير رقم بطاقة الائتمان في عنوان أل- URLوأدخل رقم بطاقة من حساب تويتر آخر بحوزته وقدم الطلب ثانية . وعند تقديمه ألغى تويتر تفاصيل بطاقة الائتمان من الحساب الآخر.
هذه المقالة متاحة أيضًا بـ:
עברית