Hacker Dapatkan Imbalan Sebesar $2.940 setelah Temukan Celah di Twitter

70

Hacker Dapatkan Imbalan Sebesar $2.940 setelah Temukan Celah di Twitter. Baru-baru ini seorang bug hunter menulis writeup di blognya tentang bagaimana ia mendapatkan imbalan sebesar $2940 dari Twitter.

Celah tersebut berawal dari bocornya API Key Official milik Twitter beberapa tahun lalu. Bug hunter dengan nama Terence Eden tersebut menyadari bahwa ada kesalahan pada OAuth permissions yang menyebabkan attacker memiliki akses ke Direct Message pengguna meskipun seharusnya aplikasi tidak diijinkan untuk mengakses DM pengguna.

Baca Juga  HackerOne Berikan Reward $10.000 Kepada Penemu "Killswitch" WannaCRY

Eden sendiri melaporkan celah beserta PoCnya lewat HackerOne dan pihak Twitter sendiri sudah mengkonfirmasi bahwa temuan bug tersebut valid.

Tidak ada kebocoran data

Ada beberapa batasan yang telah diberlakukan Twitter sehingga bug ini menjadi tidak terlalu berbahaya. Yang paling penting adalah membatasi alamat callback. Setelah berhasil masuk, aplikasi hanya akan kembali ke URL yang telah ditentukan. Itu berarti pengguna tidak dapat mengambil kunci Twitter resmi dan mengirim pengguna ke aplikasi lain. Ini adalah keputusan keamanan yang masuk akal.

Baca Juga  Google Menaikkan Bounty Bagi yang Berhasil Temukan Celah di Platformnya

Pihak Twitter sendiri sudah menutup celah tersebut. Mereka juga mengkonfirmasi bahwa tidak ada kebocoran data yang disebabkan oleh celah ini sehingga untuk saat ini tidak ada yang perlu dilakukan oleh pengguna Twitter. (yuyudhn/linuxsec)

LEAVE A REPLY

Please enter your comment!
Please enter your name here