A principios de este mes, Twitter lanzó su programa de recompensas para aquellos que encuentren fallas en su servicio, los pagos van desde 140 dólares por falla encontrada.

Un investigador de seguridad egipcio llamado Ahmed Aboul-Ela ya puede reclamar su recompensa al haber descubierto una vulnerabilidad crítica en el servicio de publicidad de Twitter.Aboul-Ela también es conocido por haber encontrado fallas en servicios populares de compañías importantes como Google, Microsoft y Apple.

La primera de las fallas se encontraba en la función "Eliminar" (Delete) de la sección de tarjetas de crédito en la página de métodos de pago: https://ads.twitter.com/accounts/[account id]/payment_methods.

Si se elige la opción "Eliminar esta tarjeta", se envían los siguientes datos al servidor: Cuenta (identificador de cuenta de Twitter) y ID (identificador de tarjeta de crédito).

"Todo lo que tuve que hacer fue cambiar esos dos parámetros por los de mi otra cuenta de Twitter y mi otra tarjeta de crédito, enviar de nuevo la solicitud y repentinamente hallé que la tarjeta de crédito había sido eliminada de la otra cuenta de Twitter sin requerir interacción alguna" escribió Aboul-Ela en su blog personal.

Posteriormente, Aboul-Ela encontró una falla similar en ads.twitter.com pero, de acuerdo con él, el impacto de ésta es mucho mayor. Al intentar agregar una tarjeta de crédito no válida a una de sus cuentas de Twitter, se desplegaba el mensaje de error "We were unable to approve the card you entered" (No pudimos verificar la tarjeta que usted ingresó), junto con un botón llamado "Dismiss", que al ser presionado eliminaba la tarjeta de la cuenta, una función a la vista en la primera vulnerabilidad.

Al volver a agregar una tarjeta no válida e interceptar la comunicación, descubrió que la solicitud se hacía únicamente con el identificador de tarjeta de crédito y se omitía el identificador de cuenta de Twitter, permitiendo eliminar cualquier tarjeta modificando únicamente el campo ID. "Así que cambié el ID en la URL y cuerpo de la petición por el ID de mi otra cuenta de Twitter, después reenvié la solicitud y ¿adivinan qué-", escribió Aboul-Ela, mostrando en video sus hallazgos.

En palabras de Aboul-Ela, este par de vulnerabilidades tenían un impacto crítico debido a que, lo que un usuario malintencionado necesitaba para eliminar todas las tarjetas de c-edito de todas las cuentas de Twitter era generar con un script ID de tarjetas de crédito formados por seis números como "220152". Con este escenario, se interrumpirían todas las campañas publicitarias de Twitter, provocando grandes pérdidas económicas para la empresa.

Según Aboul-Ela, Twitter solucionó las fallas en un plazo de dos días y le entregó la recompensa más alta del programa.