Грешката „Shadow Ban“ в Twitter получава официален CVE

Неотдавна беше открита уязвимост в кода на Twitter, която позволява на потребителите да играят с алгоритъма с масови блокиращи действия от голям брой акаунти, за да потиснат конкретни потребители, които се появяват във фийдовете на хората – по същество тя позволява създадени от ботове „забрани в сянка“ на езика на критиците на цензурата в социалните медии.

Сега на дефекта е даден номер CVE като официално призната уязвимост в сигурността: CVE-2023-29218.

„Алгоритъмът за препоръки в Twitter чрез ec83d01 позволява на атакуващите да причинят отказ на услуга (намаляване на резултата от репутацията), като организират множество акаунти в Twitter да координират негативни сигнали по отношение на целеви акаунт, като например премахване на последователи, заглушаване, блокиране и докладване, както е експлоатирано  през март и април 2023 г.“, се обяснява в записа на MITRE CVE.

Уязвимостта е отбелязана за първи път от изследователя в областта на информационната сигурност Федерико Андрес Лоис след анализ на изходния код на Twitter, който е изтекъл публично и по-късно е публикуван в GitHub от Twitter като част от ангажимента за прозрачност.

Бъгът означава, че армиите от ботнети имат възможност да играят с алгоритъма чрез масови блокирания, заглушавания, доклади за злоупотреба, доклади за спам и отписвания, за да намалят броя на показванията на определени акаунти в механизма за препоръки на Twitter.

„Настоящата реализация позволява координирано увреждане на репутацията на акаунта без право на обезщетение“, пише Лоис в своето разкритие. „Всеки друг път просто бих съобщил тази информация, използвайки канал за уязвимост, но при положение, че това вече е общоизвестно, няма смисъл да го правя.“

Оттогава уязвимостта е открита и от други лица, което предизвика загадъчен, но разтърсващ отговор от главния изпълнителен директор на Twitter Илон Мъск.

„Кой стои зад тези ботнети?“  написа Мъск в Twitter. „Награда от милион долара, ако бъде осъден.“

Източник: По материали от Интернет

Подобни публикации

1 юни 2023

Подробности за Migraine - уязвимост на Apple macOS

Microsoft сподели подробности за вече поправен недостатък в Apple m...

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да са ви открили, е от ключово ...
31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
Бъдете социални
Още по темата
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
27/05/2023

DarkFrost унищожава гейминг...

Наблюдава се нов ботнет, наречен Dark...
26/05/2023

Грешка в OAuth засяга стоти...

Уязвимост в киберсигурността, открита при прилагането...
Последно добавени
01/06/2023

Подробности за Migraine - у...

Microsoft сподели подробности за вече поправен...
01/06/2023

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да...
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!