Сторонние приложения могли «читать» переписку пользователей Twitter

Сторонние приложения могли «читать» переписку пользователей Twitter


До начала декабря сторонние приложения получать доступ к личным сообщениям пользователей Twitter. , этой уязвимостью никто не воспользовался. , который её нашёл, выплатили почти 3 тысячи долларов по программе Bug Bounty.

Как приложения получали доступ?

В 2013 году  утечка ключей к Twitter API  — так приложения могли получать доступ к интерфейсу в обход соцсети. Для защиты пользователей Twitter реализовала механизм авторизации приложений через заранее определённые адреса (Callback URL), но он подходил не всем.

Приложения, не поддерживающие Callback URL, могли авторизоваться через PIN-коды. При такой авторизации всплывает окно, которое перечисляет, к каким данным пользователь открывает доступ. Окно не запрашивало доступ к личным сообщениям, но на самом деле приложение его получало.

А сейчас сообщения защищены?

6 декабря Twitter сообщила, что решила проблему. Судя по компании на сайте HackerOne, воспользоваться этой уязвимостью никто не успел.

Это не первая ИБ-ошибка соцсети, связанная с API. В сентябре Twitter обнаружила баг в AAAPI (Account Activity API): система отправляла копию личного сообщения пользователя случайному получателю.

Source:

Вы можете пропустить чтение записи и оставить комментарий. Размещение ссылок запрещено.

Оставить комментарий

Вы должны быть авторизованы, чтобы разместить комментарий.