Mentre gli utenti di Twitter discutono su Doge, che ha sostituito il simbolico familiare uccellino azzurro, i ricercatori stanno scoprendo i dettagli di un nuovo bug che è stato scoperto nell’algoritmo di raccomandazione di Twitter già al terzo giorno dalla divulgazione del suo codice sorgente.
I sorgenti per molti componenti di Twitter sono ora disponibili in due repository principali su GitHub “https://github.com/twitter/the-algorithm/” e “https://github.com/twitter/ the-algoritmo-ml“, incluso appunto l’algoritmo di raccomandazione.
Questo è uno dei componenti più importanti del social network, che è responsabile della personalizzazione nell’emissione di notifiche per un utente, dei risultati di ricerca e della formazione della scala di priorità per i tweet che vengono presentati nel feed.
Prima che Elon Musk avesse il tempo di archiviare il servizio promesso per l’elaborazione di suggerimenti e notifiche di problemi, i ricercatori avevano già implementato la prima vulnerabilità nell’algoritmo, che ora viene identificata come CVE-2023-29218.
Il bug consente agli aggressori di utilizzare “ec83d01” per causare un denial of service (declassamento del punteggio di reputazione) orchestrando più account Twitter per coordinare azioni negative contro l’account di destinazione, come smettere di seguire, silenziare, bloccare e segnalare.
Non ci sono dettagli e l’exploit non è pubblicamente disponibile. Ma è inequivocabilmente noto che il bug è già stato sfruttato nella piattaforma ed è stato testato con successo da chi è solito lavorare con i bot.
A sua volta, il CEO di Twitter ha risposto prontamente e ha offerto, a chi avesse delle misure di mitigazione con un tweet sull’argomento, una taglia di 1 milione di dollari sugli amministratori di botnet.
