Twitterのフリート機能に対する権限昇格

はじめにTwitterはBug Bountyプログラム(脆弱性報奨金制度とも呼ばれる)を実施しており、脆弱性の診断行為を行うことが認められています。 本記事は、そのプログラムを通して報告された脆弱性についてを解説したものであり、Twitterが認知していない未修正の脆弱性を公開する事を意図したものではありません。 また、Twitter上で脆弱性を発見した場合はTwitterのBug Bountyプログラムより報告してください。 (This article is written in Japanese. If you’d like to read this article in English, please visit HackerOne report.) TL;DRTwitterが公開したフリート機能が使用しているAPIに脆弱性が存在し、READ権限しか持っていないサードパーティアプリケ

[kuzumimizuku]

先日の「エンジニア向いてる向いてない話」には懐疑的だけど、こういう「想定仕様上は実行できたらまずいことが実行できてしまった時に仕事とは関係なく検証する好奇心がある人」で業界は成り立っているなとは思う。

[hatest]

いくらもらえるんだろ。Gmailがではじめた時にGoogleにいたずらできるよって送ったらGmailのキラキラシールくれた。その時は報奨金制度なかったからそれで大喜びしてたけど

[kw5]

HackerOne 側の開示には報奨金 $7,700 と書いてある https://hackerone.com/reports/1032468

[koyhoge]

リバースエンジニアリングによって割り出した非公開APIの脆弱性の発見例。新機能の実装も気が抜けないなぁw

[uskey]

API自体が閉じられてしまったのはちょっと残念。相場とか全然わからないけど$7,700はすごい…

[rgfx]

「この一連の流れで、新機能を解析することの重要さと、どんな大企業でもミスはするという教訓を得ることが出来た。」ミスは避けられないのほんと怖い。

[onesplat]

$7,700か。これでメシ食っていけそうだな

[yoiIT]

“Twitterが公開したフリート機能が使用しているAPIに脆弱性が存在し、READ権限しか持っていないサードパーティアプリケーションがフリートの作成や削除などを行えた。”

[sachiko-kame]

“TwitterのBug Bounty”

[ytRino]

androidアプリをアレしてアレするパターン

[t_f_m]

"TL;DR Twitterが公開したフリート機能が使用しているAPIに脆弱性が存在し、READ権限しか持っていないサードパーティアプリケーションがフリートの作成や削除などを行えた"