Игра Яндекс Практикума
Игра Яндекс Практикума
Игра Яндекс Практикума
Написать пост

Сторонние приложения могли «читать» переписку пользователей Twitter

Новости

По данным Twitter, уязвимостью никто не воспользовался. В начале декабря её исправили, а специалисту выплатили почти 3 тыс. долларов.

676 открытий676 показов
Сторонние приложения могли «читать» переписку пользователей Twitter

До начала декабря сторонние приложения могли получать доступ к личным сообщениям пользователей Twitter. По данным компании, этой уязвимостью никто не воспользовался. Теренсу Идену, который её нашёл, выплатили почти 3 тысячи долларов по программе Bug Bounty.

Как приложения получали доступ?

В 2013 году произошла утечка ключей к Twitter API  — так приложения могли получать доступ к интерфейсу в обход соцсети. Для защиты пользователей Twitter реализовала механизм авторизации приложений через заранее определённые адреса (Callback URL), но он подходил не всем.

Приложения, не поддерживающие Callback URL, могли авторизоваться через PIN-коды. При такой авторизации всплывает окно, которое перечисляет, к каким данным пользователь открывает доступ. Окно не запрашивало доступ к личным сообщениям, но на самом деле приложение его получало.

А сейчас сообщения защищены?

6 декабря Twitter сообщила, что решила проблему. Судя по заявлению компании на сайте HackerOne, воспользоваться этой уязвимостью никто не успел.

Это не первая ИБ-ошибка соцсети, связанная с API. В сентябре Twitter обнаружила баг в AAAPI (Account Activity API): система отправляла копию личного сообщения пользователя случайному получателю.

Следите за новыми постами
Следите за новыми постами по любимым темам
676 открытий676 показов
Также рекомендуем
Центр ядерных исследований ЦЕРН переведет Большой адронный коллайдер на новую ОС
Центр ядерных исследований ЦЕРН переведет Большой адронный коллайдер на новую ОС
ЦЕРН и Фермилаб переходят на AlmaLinux для управления Большим адронным коллайдером после завершения поддержки Scientific Linux. Новый выбор обеспечивает долгосрочную стабильность, улучшенную безопасность и поддержку до 2032 года для ключевых научных проектов
Как зашифровать диск в VeraCrypt
Как зашифровать диск в VeraCrypt
Написали пошаговый гайд по шифрованию диска в VeraCrypt, чтобы максимально усложнить взлом для злоумышленников.
Начало работы с Hashicorp Vault и создание первого секрета
Начало работы с Hashicorp Vault и создание первого секрета
В этой статье мы рассмотрим первые шаги пользования Hashicorp Vault: запустим сервер, научимся авторизовываться и создадим свой первый секрет. Рассмотрим, как это можно делать в веб-интерфейсе, а, также, и в терминале
🔥 В велосипедах нашли «хакерские» уязвимости
🔥 В велосипедах нашли «хакерские» уязвимости
Ученые нашли уязвимости в беспроводных системах переключения передач велосипедов, участвующих в гонках, таких как Тур де Франс. Хакеры могут управлять передачами на расстоянии или отключать системы, что угрожает безопасности гонщиков и честности соревнований.