Bár a napokban nyilvánosságra került TLS probléma súlyosságát senki sem vonta kétségbe, többen szkeptikusak voltak azzal kapcsolatban, hogy a sebezhetőséget éles rendszeren, széles körben ki tudnák használni. Anil Kurmus most megmutatta, hogy a protokollújraegyeztetésen alapuló támadás akár olyan nagy forgalmú oldalakon is kihasználható lehet, mint a Twitter. 

Kurmus először is megmutatta, hogy az a feltételezés, miszerint HTTPS protokoll használata esetén csak GET lekérdezéseket lehet manipulálni, nem igaz: a MitM támadás során ugyanis a beszúrható adat úgy prefixálhatja a valódi lekérdezést, hogy utóbbi végül az összefűzött POST lekérés body-jává válik, valahogy így:

POST /tamado_altal_hivott/script HTTP/1.0\r\n
tamado_altal_elnevezett_parameter=POST /eretedi/lekerdezes ....

Ez pedig pont kapóra jön a Twitter esetében, ahol minden egyes csirippel a HTTP protokoll Authaorization fejlécében átvitelre kerül a küldő felhasználó  felhasználóneve és jelszava, ez pedig pont belefér 140 karakterbe, így gyakorlatilag a felhasználóval kiposztoltathatjuk a saját jelszavát. Mocskos kis trükk :)