Hacker Dapatkan Imbalan Sebesar $2.940 setelah Temukan Celah di Twitter. Baru-baru ini seorang bug hunter menulis writeup di blognya tentang bagaimana ia mendapatkan imbalan sebesar $2940 dari Twitter.
Celah tersebut berawal dari bocornya API Key Official milik Twitter beberapa tahun lalu. Bug hunter dengan nama Terence Eden tersebut menyadari bahwa ada kesalahan pada OAuth permissions yang menyebabkan attacker memiliki akses ke Direct Message pengguna meskipun seharusnya aplikasi tidak diijinkan untuk mengakses DM pengguna.
Eden sendiri melaporkan celah beserta PoCnya lewat HackerOne dan pihak Twitter sendiri sudah mengkonfirmasi bahwa temuan bug tersebut valid.
Tidak ada kebocoran data
Ada beberapa batasan yang telah diberlakukan Twitter sehingga bug ini menjadi tidak terlalu berbahaya. Yang paling penting adalah membatasi alamat callback. Setelah berhasil masuk, aplikasi hanya akan kembali ke URL yang telah ditentukan. Itu berarti pengguna tidak dapat mengambil kunci Twitter resmi dan mengirim pengguna ke aplikasi lain. Ini adalah keputusan keamanan yang masuk akal.
Pihak Twitter sendiri sudah menutup celah tersebut. Mereka juga mengkonfirmasi bahwa tidak ada kebocoran data yang disebabkan oleh celah ini sehingga untuk saat ini tidak ada yang perlu dilakukan oleh pengguna Twitter. (yuyudhn/linuxsec)