Написать пост

Сторонние приложения могли «читать» переписку пользователей Twitter

Аватар Екатерина Никитина

По данным Twitter, уязвимостью никто не воспользовался. В начале декабря её исправили, а специалисту выплатили почти 3 тыс. долларов.

Обложка поста Сторонние приложения могли «читать» переписку пользователей Twitter

До начала декабря сторонние приложения могли получать доступ к личным сообщениям пользователей Twitter. По данным компании, этой уязвимостью никто не воспользовался. Теренсу Идену, который её нашёл, выплатили почти 3 тысячи долларов по программе Bug Bounty.

Как приложения получали доступ?

В 2013 году произошла утечка ключей к Twitter API  — так приложения могли получать доступ к интерфейсу в обход соцсети. Для защиты пользователей Twitter реализовала механизм авторизации приложений через заранее определённые адреса (Callback URL), но он подходил не всем.

Приложения, не поддерживающие Callback URL, могли авторизоваться через PIN-коды. При такой авторизации всплывает окно, которое перечисляет, к каким данным пользователь открывает доступ. Окно не запрашивало доступ к личным сообщениям, но на самом деле приложение его получало.

А сейчас сообщения защищены?

6 декабря Twitter сообщила, что решила проблему. Судя по заявлению компании на сайте HackerOne, воспользоваться этой уязвимостью никто не успел.

Это не первая ИБ-ошибка соцсети, связанная с API. В сентябре Twitter обнаружила баг в AAAPI (Account Activity API): система отправляла копию личного сообщения пользователя случайному получателю.

Следите за новыми постами
Следите за новыми постами по любимым темам
676 открытий676 показов