Nowy błąd odkryty na Twitterze, który pozwalał zewnętrznym deweloperom widzieć prywatne wiadomości wymieniane przez użytkowników z usługami wsparcia
W ramach popularnego medium społecznościowego Twitter odkryto nowy błąd.
Nowy błąd został odkryty w popularnym serwisie społecznościowym Twitter, gdzie usterka w systemie zarządzania prywatnymi wiadomościami pozwoliła zewnętrznym programistom na czytanie prywatnych wiadomości wymienianych między użytkownikami bez wymaganego zezwolenia.
Błąd został odkryty w API aktywności konta Twittera, który jest systemem pozwalającym zewnętrznym programistom na tworzenie narzędzi komunikacyjnych w serwisie społecznościowym. Zazwyczaj programiści mają dostęp do niektórych publicznych danych użytkowników w czasie rzeczywistym, ale nie powinni mieć dostępu do prywatnych wiadomości. Z powodu luki w zabezpieczeniach do pakietu informacji przekazywanych bez autoryzacji deweloperom spoza mediów społecznościowych trafiły jednak także prywatne wiadomości użytkowników. Błąd nie ma wpływu na rozmowy pomiędzy dwoma prywatnymi użytkownikami, a jedynie pomiędzy tymi, którzy użyli mediów społecznościowych do skontaktowania się ze stroną wsparcia klienta danej firmy. Błąd nie dotyczy rozmów pomiędzy dwoma prywatnymi użytkownikami, a jedynie pomiędzy tymi, którzy użyli mediów społecznościowych do skontaktowania się z firmową stroną obsługi klienta. Tak więc nasze prywatne wiadomości, które stały się "publiczne" to te dotyczące korzystania z usług obsługi klienta na Twitterze.
Nowy błąd bezpieczeństwa dla Twittera
Twitter poinformował jednak, że nie ma dowodów na to, że wiadomości od użytkowników przeznaczone dla obsługi klienta przypadkowo trafiły do zewnętrznych deweloperów. Błąd został odkryty 10 września, a jego naprawienie zajęło Twitterowi około dwóch tygodni, choć najprawdopodobniej był on obecny już od maja 2017 roku. Według raportu, tylko 1 procent wiadomości wysyłanych za pomocą Twittera API Aktywność konta może być błędnie dostarczone, z wiadomość dociera nie do obsługi klienta, ale do innej osoby. Osoby dotknięte błędem w zabezpieczeniach zostały niezwłocznie powiadomione przez twórców mediów społecznościowych za pomocą wyskakującego powiadomienia. Programiści, którzy otrzymali informacje z kont, które nie należą do nich, zostali poproszeni przez Twittera o usunięcie wszelkich danych, aby uniknąć reperkusji prawnych.