В социальной сети Twitter обнаружили ошибку, которая раскрывала личную переписку пользователей сторонним лицам
Проблема проявлялась при использовании приложений, запрашивающих PIN-код для завершения процесса авторизации, вместо применения протокола Oauth. В результате, некоторые разрешения, например, на доступ к личным сообщениям, оставались скрытыми для пользователей Twitter.
Исследователь Теренс Иден, который обнаружил данную уязвимость, отметил, что проблема заключается в обработке ключей и секретов официальным API Twitter, к которым разработчики приложений могут получить доступ без авторизации. Утечка упомянутых ключей API Twitter произошла несколько лет назад. По словам специалиста, это значит, что разработчики приложений, не одобренных Twitter, по-прежнему могут получить доступ к программному интерфейсу.
Для предотвращения злоупотреблений социальная платформа реализовала ряд мер, в частности ограничение URL обратного вызова, то есть одобренное приложение может получить доступ только к предопределенному адресу. Однако, некоторые приложения не используют URL-адрес или не поддерживают функцию обратных вызовов. Для таких случаев Twitter предусмотрела дополнительный механизм авторизации – по PIN-коду.
После авторизации, пользователю предоставляется PIN, который он вводит в приложение, и программа получает доступ к контенту в Twitter. Иден обнаружил, что в случае с такими приложениями экран OAuth в Twitter по какой-то причине отображает некорректную информацию. В результате пользователи считают, что у приложений нет доступа к частным сообщениям, хотя на самом деле он есть.
Иден передал информацию об уязвимости администрации Twitter. Проблема уже исправлена, а исследователь получил награду в размере $2 940.