Hacker gunakan celah CSRF di twitter untuk baca SMS dan Posting Tweet

Twitter bertindak cepat beberapa hari lalu ketika diberitahu tentang adanya Cross-Site Request Pemalsuan (CSRF) kerentanan yang melanda "add perangkat mobile" fitur jaringan sosial.

Twitter bertindak cepat beberapa hari lalu ketika di kejutkan oleh pemberitahuan tentang adanya kerentanan Keamanan Cross-Site Request Forgery (CSRF) pada "Twitter Mobile App" jaringan social tersebut.

Fitur ini memungkinkan pengguna untuk mengontrol akun mereka melalui SMS. Celah keamanan bisa saja dimanfaatkan untuk mendapatkan akses ke pesan langsung setiap pengguna dan posting tweet dari akun manapun.

Masalah ini ditemukan oleh Pakar peneliti keamanan Henry Hoggard pada 3 November, dan pada hari yang sama juga Henry Hoggard langsung memperbaiki kerentanan yang ada pada jejaring social tersebut.

Menurut Henry Hoggard, hacker bisa mengeksploitasi kelemahan dengan menggunakan halaman web CSRF untuk menambahkan nomor ponsel mereka sendiri ke rekening korban.

"Meskipun demikian, tetap saja halaman tidak memberikan token yang asli, tujuannya yaitu untuk mencegah CSRF, tapi tidak untuk memvalidasi bahwa token benar, dan oleh karena itu Hacker dapat memasukkan nilai apapun," Jelas Hoggar dalam sebuah blog.

Setelah penyerang menambahkan nomor teleponnya sendiri,Maka dia bisa saja menyalahgunakan semua perintah SMS Twitter.

Rincian teknis tambahan di Twitter kerentanan CSRF ini tersedia di blog peneliti.