Jak się łata luki w narzędziach do Twittera? Zaostrzając dostępy? Przeprojektowując zasady bezpieczeństwa? Nie – zmieniając nazwę narzędzia
To nie żart. Z pewnością słyszeliście o masowych przejęciach kont na Twitterze w 2020 roku za pomocą narzędzia o nazwie Twitter Godmode. To wewnętrzne narzędzie do użytku wyłącznie dla inżynierów Twittera. Cóż… wyciekło i skorzystali z niego także hakerzy.
Łupem hakerów padły wówczas takie oficjalne konta jak np. konto Apple, profile Billa Gatesa, Joego Bidena Jeffa Bezosa, czy… Elona Muska. No dobra, włamanie jak inne, czy możemy się rozejść? Cóż, nie bagatelizował bym tego, bo Twitter Godmode umożliwiał inżynierom Twittera (w zasadzie komukolwiek, kto „zhackował” inżyniera) dostęp również do kont chronionych techniką uwierzytelniania dwuskładnikowego!
Hakerzy, którzy włamali się na tak głośne konta, zdecydowanie zmarnowali potencjał ataku wykorzystując dostęp do wspomnianych profili (i wielu więcej) tylko po to, by propagować jakiś bitcoinowy scam.
O tym, że atak przeprowadzono za pomocą Twitter Godmode, wewnętrznej aplikacji inżynierskiej Twittera, świat dowiedział się dopiero później. Narzędzie to nie tylko umożliwiało teoretycznie osobie uprawnionej dostęp do dowolnego konta na Twitterze (niezależnie od tego z jakiej formy uwierzytelniania korzysta właściciel konta), a także usuwanie wpisów danej osoby.
Twitter miał rozwiązać problem z aplikacją. I rozwiązał. Według informatora, na którego słowa powołuje się Washington Post dostęp utrudniono poprzez przestawienie jednej flagi i zablokowanie domyślnego dostępu do tego narzędzia. Sęk w tym, że średnio rozgarnięty inżynier oprogramowania mógł ponownie przestawić flagę i uzyskać dostęp, tyle, że już nie domyślny. Co za kpina z bezpieczeństwa?!
Ale, spokojnie, dopiero się rozgrzewamy. Co dalej zrobił Twitter ze swoim „już-nie-tajnym” narzędziem. Czy wprowadził dodatkową kontrolę dostępu? Monitoring wykorzystania aplikacji? Dodatkowe protokoły bezpieczeństwa? Nic z tych rzeczy. Zmieniono po prostu nazwę z Twitter Godmode na Twitter Privilege Mode, no i pozostawiono dostęp niedomyślny. Co w praktyce oznacza, że dalej każdy średnio rozgarnięty programista Twittera może uzyskać dostęp do tego narzędzia, wystarczy, że zmieni jedną linię kodu.
Według informacji sygnalisty, kod aplikacji pozostaje na laptopie każdego inżyniera Twittera, który tego chce. Wszystko co trzeba zrobić by uruchomić narzędzie to zmiana flagi dostępu z FALSE na TRUE i uruchomić kod z dowolnej maszyny w wewnętrznej sieci Twittera, przy czym nie trzeba być fizycznie w firmie, wystarczy popularny dostęp przez SSH.
Cała ta sytuacja z Twitterem potwierdza starą prawdę: jeżeli cokolwiek trafia do sieci, nie jest już Twoje.
