Баг в Twitter позволял публиковать твиты от имени любого пользователя
По словам Twitter, проблема заключалась в обработке запросов Twitter Ads Studio.
«Если злоумышленник поделится с пользователем медиа-файлами, а затем подменит в запросе на публикацию идентификатор учетной записи, этот медиа-контент будет опубликован от имени атакуемого пользователя» - объясняет Twitter.
Также Twitter утверждает, что нет никаких доказательств того, что эта брешь эксплуатировалась в реальных атаках.
В своем сообщении исследователь объясняет, что эта проблема связана с рекламным сервисом Twitter, где имеется медиа-библиотека с возможностью загрузки файлов (видео, картинки, GIF-анимация).
Библиотека находится по адресу https://ads.twitter.com/accounts/*id_of_user_account*/media и позволяет пользователю не только просматривать мультимедийный файл, но и твитить его или делиться им с другими пользователями. Функция tweeting имеет доступ к account_id, owner_id (владельцу изображения), user_id (пользователь, который будет публиковать твит) и media_key (идентификатор медиа-файла, который публикуется).