Webサービスやソフトウエアなどの脆弱性情報の公開や、脆弱性を発見したハッカーへの報奨金支払いを管理するWebサイト「HackerOne」は2017年5月23日、Twitterに攻撃者が第三者になりすまして投稿できる脆弱性があった、というレポートを公開した。

HackerOneで公開されたTwitterの脆弱性。URLは、https://hackerone.com/reports/208978。
(出所:HackerOne)
[画像のクリックで拡大表示]

 脆弱性はTwitterの広告システムにあり、攻撃者がシステムにアップロードしたデータを第三者のIDを使って投稿要求すると、そのIDで投稿されてしまうというもの。

 HackerOneによれば、Kedrischというアカウントの人物が2月26日に指摘したところ、2月28日にはTwitterのシステム上で修正されていたという。Kedrisch氏は、米ツイッターより7560ドルの報奨金を得た。

Kedrischのブログ。Twitterの広告システムにあった脆弱性を解説している。URLは、http://kedrisec.com/twitter-publish-by-any-user/。
(出所:Kedrisch security blog)
[画像のクリックで拡大表示]