Из-за сбоя в программе злоумышленники могли публиковать сообщения в Twitter от имени других пользователей, не обладая доступом к их аккаунтам. О взломе администрации сайта рассказал один из экспертов, получивший за это материальное вознаграждение.
Возникшую проблему в Twitter обнаружил пользователь Kedrisec. Модераторы поставили уязвимости большую степень риска, а исследователю выплатили денежное вознаграждение.
По словам администраторов соцсети, трудность заключалась в изучении запросов Twitter ads Studios. Так, если хакер предоставит пользователю медиа-файл, а после заменит в запросе на публикацию идентификатор учетной записи, то данная медиа-информация опубликуется от имени пострадавшего юзера. В компании заявили, что они не имеют доказательств о применении этой уязвимости в настоящих атаках.