Сторонние приложения могли «читать» переписку пользователей Twitter

До начала декабря сторонние приложения могли получать доступ к личным сообщениям пользователей Twitter. По данным компании, этой уязвимостью никто не воспользовался. Теренсу Идену, который её нашёл, выплатили почти 3 тысячи долларов по программе Bug Bounty.

Как приложения получали доступ?

В 2013 году произошла утечка ключей к Twitter API  — так приложения могли получать доступ к интерфейсу в обход соцсети. Для защиты пользователей Twitter реализовала механизм авторизации приложений через заранее определённые адреса (Callback URL), но он подходил не всем.

Приложения, не поддерживающие Callback URL, могли авторизоваться через PIN-коды. При такой авторизации всплывает окно, которое перечисляет, к каким данным пользователь открывает доступ. Окно не запрашивало доступ к личным сообщениям, но на самом деле приложение его получало.

А сейчас сообщения защищены?

6 декабря Twitter сообщила, что решила проблему. Судя по заявлению компании на сайте HackerOne, воспользоваться этой уязвимостью никто не успел.

Это не первая ИБ-ошибка соцсети, связанная с API. В сентябре Twitter обнаружила баг в AAAPI (Account Activity API): система отправляла копию личного сообщения пользователя случайному получателю.

tproger.ru