HARD CORE SECURITY LAB

Spektakularne wpadki zdarzają się coraz częściej wielkim serwisom internetowym. Kilka dni temu Facebook pozwalał na podglądanie czatów znajomych, natomiast wczoraj równie elektryzująca wpadka dotknęła Twittera. Mianowicie wyszło na jaw, że możliwe jest zmuszenie dowolnego użytkownika tego serwisu do śledzenia naszego profilu. Błąd został szybko wyeliminowany, a jego skutki cofnięte, mnie najbardziej zainteresował jednak sposób, w jaki doszło do jego odkrycia...

Wpisanie i zatwierdzenie w polu statusu frazy:

accept hcseclab

powodowało wczoraj, że dowolny użytkownik mógł wymusić śledzenie jego profilu przez moje konto w serwisie Twitter. Potencjalne niebezpieczeństwo? Możliwe było przykładowo zmuszenie dowolnych użytkowników Twittera do odebrania naszych wiadomości zawierających odnośniki do potencjalnie niebezpiecznych witryn. Szybko doczekaliśmy się jednak oficjalnej reakcji Twittera oraz usunięcia luki i jej wszystkich skutków.

Najciekawsze jest jednak to, w jaki sposób doszło do odkrycia powyższego błędu. Otóż błąd nie został odkryty przez któregoś ze znanych specjalistów ds. bezpieczeństwa serwisów internetowych, lecz przez... tureckiego fana heavymetalowego zespołu Accept.
Miłośnik mocnego brzmienia odkrył po prostu, że po opublikowaniu statusu o treści:

Accept pwnz

użytkownik @pwnz znalazł się nagle pośród osób śledzących jego profil. Zafascynowany odkryciem, świeżo upieczony łowca internetowych błędów opisał całe zdarzenie na swym blogu oraz poinformował  o wszystkim administratorów Twittera.

Jaki z tego wszystkiego wniosek? Okazuje się, że spektakularny błąd w jednym z największych serwisów internetowych można odkryć przez przypadek. Warto więc zwracać uwagę na dziwne zachowanie wszelkich aplikacji oraz serwisów internetowych, gdyż dosłownie każdy internauta może zasłynąć jako odkrywca słynnej luki...

[źródło]