Баг в AAAPI Twitter открыл доступ к приватным сообщениям пользователей

10 сентября 2018 года Twitter обнаружила баг в Account Activity API (AAAPI), отправляющий копию приватного сообщения случайному получателю. Компания официально заявила, что ошибка затронула менее 1 % пользователей. Разработчики устранили проблему в течение нескольких часов после обнаружения. В настоящее время Twitter рассылает уведомление потенциальным пострадавшим и ведёт работы по нейтрализации возможного ущерба.

Что такое AAAPI?

Account Activity API предназначен для общения разработчиков на платформе Twitter с клиентами. C помощью этого интерфейса контрагенты могут отправлять друг другу приватные сообщения. Обнаруженная ошибка привела к тому, что при стечении определённых обстоятельств информация и твиты клиентов попадали к сторонним адресатам. Баг в интерфейсе существовал с мая 2017 года и мог затронуть любые взаимодействия за прошедшие 16 месяцев.

Twitter заявляет, что получить случайные сообщения могли только официально зарегистрированные разработчики. В настоящее время идёт переписка с возможными получателями. Представители компании обещают проследить за соблюдением разработчиками своих обязательств и удостовериться в удалении неправомерно полученной информации.

Проблемы утечки информации из-за ошибок разработчиков или хакерских атак регулярно всплывают в IT-сфере. В начале сентября 2018 года Family Orbit, компания, специализирующаяся на скрытом контроле действий пользователей, допустила утечку 281 гигабайта данных, полученных в процессе наблюдения.