Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Twitter: Une vulnérabilité permet à un hacker de supprimer les cartes de crédit de tout compte Twitter

16 Septembre 2014 , Rédigé par nicko Publié dans #informatique

Au début de ce mois-ci, tout comme les autres réseaux sociaux, Twitter a également commencé à payer des individus pour des défauts qu'ils découvrent sur son service avec un paiement de 140 $ ou plus offert par défaut sous son nouveau programme Bug Bounty.

Twitter: Une vulnérabilité permet à un hacker de supprimer les cartes de crédit de tout compte Twitter

Ahmed Mohamed Hassan Aboul-Ela Un chercheur égyptien de sécurité, qui a été récompensés par beaucoup de géants réputés et populaires comprenant Google, Microsoft et Apple, il a découvert une vulnérabilité critique dans le service de publicité du Twitter qui lui a permis de supprimer les cartes de crédit de n'importe quel compte de Twitter.

                                  Première vulnérabilité

Au commencement Aboul-Ela a trouvé deux vulnérabilités différentes dans ads.twitter.com, mais les failles avaient le « mêmes effet et impact. » La première faille existe dans la fonction DELETE des cartes de crédit en page de méthode de paiements, https://ads.twitter.com/accounts/ [accounts id] /payment_methods.

En choisissant la fonction supprimer cette carte, une requéte POST ajax est envoyée au serveur.

Les paramètres de post introduits dans le corps de demande sont :

Compte : l'id du compte Twitter :

ID: l'identification de carte de crédit en numérique sans aucune lettre

"Tout ce que j'ai eu à faire fut de modifier ces deux paramètres à mon autre id de compte twitter et de l'id de la carte de crédit, j'ai alors répondu à nouveau à la requête et  j'ai soudainement constaté que la carte de crédit a été supprimer de l'autre compte twitter sans aucune interaction nécessaire," a écrit Aboul Ela

 

 

La réponse de page fut "403 forbbiden" mais en réalité, la carte de crédit a été supprimée du compte

                                Seconde vulnérabilité

Aboul-Ela a trouvé une autre faille similaire dans ads.twitter.com, mais, selon lui, l'impact de la cette vulnérabilité était plus élevé que la précédente

Quand il a essayé d'ajouter une carte de crédit invalide à son compte Twitter, un Message d'erreur c'est affiché "Nous n'avons pas pu approuver la carte que vous avez entrés" et c'est en se servant du bouton "Dismiss(rejeter)" que la carte de crédit a disparue du compte.

"J'ai pensé qu'il y allait avoir le même effet de suppression, donc j'ai essayé d'ajouter la carte de crédit invalide de nouveau et ai intercepté la requête," a-t-il dit.

Contrairement à la première vulnérabilité, le paramètre de compte n'existe pas, seule l'id de la carte de crédit est utilisé. Il a modifié l'id de la carte de crédit dans l'URL et l'id de sa carte de crédit d'autres compte twitter et a ensuite répondu à la requête

Devinez quoi, la carte de crédit c'est effacé de l'autre compte Twitter. Aboul-Ela a également fourni la vidéo de démonstration comme preuve de la vulnérabilité qu'il a découverte.

 

 

Twitter: Une vulnérabilité permet à un hacker de supprimer les cartes de crédit de tout compte Twitter

                             Impact de la vulnérabilité

La vulnérabilité pourrait avoir des répercussions financières pour Twitter, car elle pourrait être exploitée facilement par la rédaction d'un code python simple, ou en utilisant une simple boucle de 6 numéros. Grâce à elle, un mauvais acteur pourrait supprimer toutes les cartes de crédit de tous comptes Twitter, la résultante serait la "suspension des campagnes d'annonces sur Twitter et engagerait une grosse perte financière pour le résau social."

"L'impact de la vulnérabilité était très critique et haute parce pour la supprésion de carte de crédit il n'est nécessaire que d'avoir l'identifiant de carte de crédit qui ne se compose que de 6 chiffres tels que" 220152 ", a déclaré M. Aboul-Ela.

 

 

Source: thehackernews

Partager cet article

Repost 0

Commenter cet article