Un des raisons du succès de la plateforme deTwitter est qu’elle dépourvue de spams; vous ne recevez des messages que des personnes que vous avez choisi de suivre. Et même si un certain nombre de comptes spams ont vu le jour sur le service, leur seul danger peut venir du fait qu’ils arrivent à vous convaincre de les suivre (certains personnes suivent automatiquement ceux qui les suivent, par politesse).
Récemment Twitter va même plus loin en supprimant certains comptes qui semblent tenter de jouer avec le système.
Mais que se passe-t-il si quelqu’un trouve un moyen d’être suivi par de nombreuses personnes grâce à une vulnérabilité sur Twitter? Le service serait enseveli sous les spams.
C’est ce qui s’est passé hier; 7000 personnes suivent dorénavant johng77536, sans en avoir décidé. En peu de temps, ce compte est devenu l’un des 100 premiers comptes de Twitter. (#63 exactement) et continue de grandir. Il y a deux posts sur le compte, les deux liant vers un site appelé Hotmoda.com.
C’est la première fois que nous découvrons une telle exploitation de Twitter; il semblerait qu’une vulnérabilité ait été trouvée dans l’API. Voyons comment Twitter va répondre. D’autres personnes nous ont précisé que cette vulnérabilité est utilisée par un autre compte également (image) vers le même site hotmoda.
Apparemment le compte aurai été supprimé
Ce qui n’est pas une réponse pour la sécurisation de l’application
… mais qui est de toute façon la 1ère chose à faire. Avant d’éteindre un feu, on sort les gens de la maison qui brûle.
en l’occurence on a mis le feu à la paillotte, mais il n’y a pas péril en la demeure.
Avis aux adeptes du CSRF ; Twitter est une mine d’or ^^
Pour l’instant ce problème a vite été résolu, mais il ne faudrait pas qu’il y ait de nouvelles failles exploitées et que Twitter rencontre d’autres soucis de ce genre, car si on ajoute cela aux nombreuses coupures des serveurs, les utilisateurs pourraient vite se lassés.
C’est du spwitt