Накрутить твиттер можно используя спуфинг

Накрутить твиттер можно используя спуфинг

Эксперт в сфере информационной безопасности Д. Руденберг опубликовал информацию об уязвимых местах популярных сервисов, таких как Facebook и Twitter, а также в системах платежей и в нескольких других, привязанных к номеру мобильного телефона. Проблемы безопасности были им обнаружены еще в августе этого года. Информация сразу же была разослана по службам безопасности этих сервисов. В Facebook уязвимость была исправлена 28 ноября, кроме того Джонатану пообещали награду за эту находку, а вот Twitter и сегодня подвержен найденной спуфинг атаке. Так как трех месячный срок прошел, Д. Руденберг имел возможность разгласить информацию.

Эксплуатация уязвимости состоит в том, что зная номер мобильного для определенного аккаунта в Твиттере, атакующий может отослать СМС на длинный номер специального сервиса Twitter посредством специального гейта, подменив свой номер в СМС, и таким образом накрутить твиттер свой. Большинство гейтов дают пользователям указать в отправляемых СМС любой мобильный номер или просто случайный ID.

Каждый аккаунт твиттера может быть подвержен накрутке, т.е. спуфинг атаке, в случае если к нему привязан мобильный номер пользователя и не установлена защита по пин коду. Кроме фальсификации твитов, хакер имеет доступ к редактированию атакованного аккаунта, может прикрепить к аккаунту любой URL, подписываться на случайных пользователей, посылать личные сообщения и исполнять прочие смс-команды от имени пострадавшего.