Пока пользователи Twitter обсуждают Доге, сменившей привычную | SecAtor
Пока пользователи Twitter обсуждают Доге, сменившей привычную голубую птичку, исследователи выясняют подробности новой баги, которая была обнаружена в алгоритме рекомендации платформы на третий день раскрытия исходного кода.
Теперь исходники для многих компонентов Twitter доступны в двух основных репозиториях на GitHub (main repo и ml repo), включая и алгоритм рекомендаций.
Это один из наиболее важных компонентов работы соцсети, который отвечает за то, что персонализацию выдачи уведомлений, результатов поиска и формирования рекомендательной шкалы твитов.
Не успел Илон Маск запилить обещанный сервис для обработки предложений и уведомлений о проблемах, как исследователи уже выкатили первую уязвимость в алгоритме, которая теперь отслеживается как CVE-2023-29218.
Ошибка позволяет злоумышленникам через ec83d01 вызывать отказ в обслуживании (снижение оценки репутации), организуя с нескольких учетных записей Twitter координацию негативных действий в отношении целевой учетной записи, таких как отписка, отключение звука, блокировка и жалобы.
Подробностей нет, а эксплойт в открытом доступе не представлен. Но однозначно известно, что бага используется в дикой природе и прошла успешную апробацию ботоводами.
В свою очередь, раздосадованный владелец Twitter оперативно отреагировал и предложил свои меры по смягчению последствий, назначив вознаграждение в 1 миллион долларов за админов ботсетей.
Насколько эффективными окажутся - будем посмотреть.