En sårbarhed i Twitters kode blev for nylig opdaget, der giver brugerne mulighed for at spille algoritmen med masseblokeringshandlinger fra et stort antal konti i et forsøg på at undertrykke specifikke brugere, der dukker op i folks feeds - i bund og grund tillader det bot-oprettede "skyggeforbud" i sprogbrug af sociale mediers censurkritikere.
Nu er fejlen blevet tildelt et CVE-nummer som en officielt anerkendt sikkerhedssårbarhed: CVE-2023-29218.
"Twitter-anbefalingsalgoritmen gennem ec83d01 gør det muligt for angribere at forårsage lammelsesangreb (reduktion af omdømmescore) ved at sørge for, at flere Twitter-konti koordinerer negative signaler vedrørende en målkonto, såsom at stoppe, ignorere, blokere og rapportere, som udnyttet i vilde i marts og april 2023,” den MITRE CVE indgang forklaret.
Sårbarheden blev først markeret af infosec-forsker Federico Andres Lois efter at have analyseret Twitters kildekode, som var lækket til offentligheden og senere udgivet på GitHub af Twitter som en del af dens forpligtelse til gennemsigtighed.
Fejlen betyder, at botnet-hære har mulighed for at spille algoritmen med masseblokeringer, mutes, misbrugsrapporter, spam-rapporter og unfollows for at reducere antallet af gange, specifikke konti dukker op i Twitters anbefalingsmotor.
"Den nuværende implementering giver mulighed for koordineret skade på kontos omdømme uden klage.” Lois skrev i sin afsløring. "Hver anden gang ville jeg bare rapportere disse oplysninger ved hjælp af en sårbarhedskanal, men i betragtning af at dette allerede er populær viden, er det ingen mening at gøre det."
Sårbarheden er siden blevet opdaget af andre, hvilket har givet anledning til et kryptisk, men alligevel sprudlende svar fra Twitter-chef Elon Musk.
"Hvem står bag disse botnets?" Musk tweetede. "Million dollar dusør, hvis den bliver dømt."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/attacks-breaches/twitter-shadow-ban-bug-gets-cve-score
- :er
- $OP
- 2023
- 7
- a
- evne
- misbrug
- Konto
- Konti
- aktioner
- Efter
- algoritme
- tillader
- allerede
- analysere
- ,
- april
- AS
- tildelt
- Forbyde
- forbud
- bag
- blokering
- Blocks
- botnet
- botnets
- Bounty
- Bug
- by
- Årsag
- Censur
- Direktør
- Kanal
- kode
- koordinere
- koordineret
- Kritikere
- Nuværende
- CVE
- Denial of Service
- opdaget
- Dollar
- ned
- køre
- indsats
- Elon
- Elon Musk
- Engine (Motor)
- væsentlige
- forklarede
- Exploited
- Federico
- Fornavn
- Markeret
- fejl
- Til
- fra
- spil
- GitHub
- given
- Have
- HTTPS
- i
- implementering
- in
- oplysninger
- INFOSEC
- IT
- ITS
- jpg
- viden
- stor
- Marts
- Masse
- midler
- Medier
- million
- Millioner dollar
- flere
- Musk
- negativ
- nummer
- numre
- of
- officiel
- Officielt
- on
- Andet
- Andre
- del
- Mennesker
- plato
- Platon Data Intelligence
- PlatoData
- Populær
- indsendt
- for nylig
- anerkendt
- Anbefaling
- Anbefalingsalgoritme
- om
- indberette
- Rapportering
- Rapporter
- omdømme
- forsker
- svar
- s
- score
- sikkerhed
- sikkerhedssårbarhed
- tjeneste
- Shadow
- Vis
- signaler
- siden
- So
- Social
- sociale medier
- Kilde
- kildekode
- spam
- specifikke
- sådan
- mål
- at
- Disse
- Gennem
- tid
- gange
- til
- brug
- brugere
- sårbarhed
- som
- WHO
- Wild
- med
- uden
- ville
- zephyrnet