Twitter исправил баг, который позволял читать чужие сообщения

Опубликовано: Вторник, 18 декабря 2018 00:07

Инженеры Twitter исправили уязвимость, связанную с утечкой ключей для официального Twitter API -программного интерфейса приложения. Исследователь интернет-безопасности Теренс Иден получил за ее обнаружение почти $2,5 тыс. от компании.

Об этом Иден рассказал в своем блоге.

Официальные ключи от Twitter API утекли давно и были в открытом доступе. Поэтому мошенники могли создать программу, похожую на настоящую, и читать сообщения пользователей. Например, приложение, похожее на новое от соцсети, не запрашивает доступ к личной переписке, и вроде бы можно вздохнуть спокойно, говорит Иден.

"Вы авторизируетесь - и в мир быстро утекает вся ваша эротика, скользкие шуточки и грязные мемы. Трагедия!", - шутит автор блога. Разработчики Twitter использовали OAuth, чтобы защитить переписку, но это не помогало.

Google TV Twitter DMs fs8

Приложение от жуликов не запрашивало доступ к переписке напрямую. Фото: shkspr.mobi

Когда он сообщил об уязвимости, компания подтвердила проблему и предложила $2 940 вознаграждения. Иден отметил это бочонком сидра.

6 декабря Twitter исправил проблему. Теперь официальное приложение использует callback URL. После того, как пользователь залогинился, приложение вернется на заранее определенный URL. Но не все приложения используют URL и поддерживают callback. Для таких случаев система присылает PIN, который необходимо ввести в приложение.

iphone pin fs8

В приложение нужно ввести PIN-код, если оно не поддерживает callback URL. Фото: shkspr.mobi

  • Комитет Сената США по разведке опубликует сегодня два доклада, посвященные российской медиа-кампании, которая должна была разделить американское общество.
  • Социальная сеть Instagram подвела итоги 2018 года, проанализировав поставленные пользователями лайки, геолокации и хештеги.