Пока пользователи Twitter обсуждают Доге, сменившей привычную | SecAtor

Пока пользователи Twitter обсуждают Доге, сменившей привычную голубую птичку, исследователи выясняют подробности новой баги, которая была обнаружена в алгоритме рекомендации платформы на третий день раскрытия исходного кода.

Теперь исходники для многих компонентов Twitter доступны в двух основных репозиториях на GitHub (main repo и ml repo), включая и алгоритм рекомендаций.

Это один из наиболее важных компонентов работы соцсети, который отвечает за то, что персонализацию выдачи уведомлений, результатов поиска и формирования рекомендательной шкалы твитов.

Не успел Илон Маск запилить обещанный сервис для обработки предложений и уведомлений о проблемах, как исследователи уже выкатили первую уязвимость в алгоритме, которая теперь отслеживается как CVE-2023-29218.

Ошибка позволяет злоумышленникам через ec83d01 вызывать отказ в обслуживании (снижение оценки репутации), организуя с нескольких учетных записей Twitter координацию негативных действий в отношении целевой учетной записи, таких как отписка, отключение звука, блокировка и жалобы.

Подробностей нет, а эксплойт в открытом доступе не представлен. Но однозначно известно, что бага используется в дикой природе и прошла успешную апробацию ботоводами.

В свою очередь, раздосадованный владелец Twitter оперативно отреагировал и предложил свои меры по смягчению последствий, назначив вознаграждение в 1 миллион долларов за админов ботсетей.

Насколько эффективными окажутся - будем посмотреть.