2/4/2012
Desktopowy klient Twittera i Facebooka – TweetDeck – został czasowo wyłączony z powodu dziury, która umożliwiała przejęcie konta innego użytkownika.
Podatność w TweetDeck
Błąd został znaleziony przez Geoffa Evasona, który niestety dokonał full disclosure na Twitterze, prezentując screenshot będący efektem podatności oraz proof of concept w postaci wysłania kilku wiadomości o treści “test” z kont innych użytkowników.
Twitter, właściciel TweetDecka, twierdzi że podatność nie została wykorzystana w żadnym złośliwym celu, a hasła użytkowników nie wpadły w niepowołane ręce. Podobno 250 kont zostało dotkniętych tym “problemem”.
Nie mogli użyć oficjalnego API Twittera?
Jakiej wersji TD dotyczy ten problem?
Czy chodzi o aplikację powstałą po przejęciu projektu przez Twittera czy o stary, oparty o Adobe Air TweetDeck?
Z góry dziękuję za odpowiedź! :)