آسیب‌پذیری جدی در توئیتر؟

در چند روز اخیر اخباری را درباره توئیتر شنیده‌ایم؛ از نفوذ به حساب توئیتر مارک‌ زوکربرگ، موسس و مالک فیس‎بوک گرفته تا فروش اطلاعات ورود به حساب‌های توئیتر در وب‌تاریک به مبلغ ۱۰ بیت‌کوین. شایر برای همه ما این سوال پیش آمده‌ باشد که آیا توئیتر نتوانسته ‌است لایه‌ها مختلف امنیتی را به خوبی تامین کند؟
بسیاری از کارشناسان امنیتی به همراه رسانه‌ها در این مدت سعی داشتند که نفوذ اخیر به توئیتر را رد کرده و اعلام کنند اشکالی متوجه زیرساخت این شبکه اجتماعی نبوده‌ است، بلکه بد‌افزاری مسئول این نفوذ بوده‌ است که نام‌‌های کاربری و کلمات‌ عبور را از مرورگرها می‌دزدد.

اما حقیقت ماجرا چیست؟
روز دوشنبه همین هفته، کاربری در وب‌گاه Hackerone از سوی توئیتر موفق به دریافت پاداش بزرگی به دلیل کشف یک آسیب‌پذیری شده ‌بود. Hackerone یکی از بزرگترین بسترهایی است که محققان امنیتی در آن آسیب‌پذیری‌های موجود بر روی وب‌گاه‌ها و برنامه‌ها را پیدا می‌کنند.
این کاربر که «filedescriptor» مبلغ ۱۵۱۲۰ دلار دریافت کرده بود. به نظر می‌رسد توئیتر نمی‌خواهد اطلاعات بیشتری را در این خصوص منتشر کند.
با کمی کنکاش در تقدیرهای توئیتر از این کاربر می‌توان فهمید آسیب‌پذیری مذکور با اجرای کد از راه دور که بر روی هسته توئیتر اثر می‌گذارد مرتبط است.
این کاربر از هنگ‌کنگ بوده و به خاطر کشف آسیب‌پذیری‌های مختلف شناخته شده است. می‌توانید برخی اکتشافات اشکال‌ها و آسیب‌پذیری‌ها را توسط او در این پیوند ببینید.
تا زمانی که توئیتر اطلاعات بیشتری را در اختیار عموم نگذارد نمی‌توان به طور قطع در مورد کشف انجام شده توسط کاربر filedescriptor صحبت کرد.

تمام آن‌چه می‌توان گفت این است که یک آسیب‌پذیری مهم و جدی در توئیتر تا روز دوشنبه موجود بوده‌ است که احتمالاً پس از اعلام توسط filedescriptor وصله شده‌ است.
به همه کاربران توئیتر توصیه می‎شود کلمات‌ عبور خود را تغییر داده و تصدیق هویت دو عاملی این شبکه اجتماعی را فعال کنند تا امنیت بیش‌تری داشته باشند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap