У соціальній мережі Twitter виявили помилку, яка буде розкривати особисту переписку користувачів стороннім особам
Проблема виявлялася при використанні додатків, які звертаються до PIN-код для завершення процесу авторизації, замість застосування протоколу Oauth. В результаті, деякі дозволи, наприклад, на доступ до особистих повідомлень, залишалися прихованими для користувачів Twitter.
Дослідник Теренс Іден, який виявив дану уразливість, зазначив, що проблема полягає в обробці ключів і секретів офіційним API Twitter, до яких розробники додатків можуть отримати доступ без авторизації. Витік згаданих ключів API Twitter стався кілька років тому. За словами фахівця, це означає, що розробники додатків, явно не дозволені Twitter, як і раніше можуть отримати доступ до програмного інтерфейсу.
Для запобігання зловживань соціальна платформа реалізувала ряд заходів, зокрема обмеження URL зворотного виклику, тобто схвалене додаток може отримати доступ тільки до визначених адресою. Однак, деякі програми не використовують URL-адресу або не підтримують функцію зворотних викликів. Для таких випадків Twitter передбачила додатковий механізм авторизації – по PIN-коду.
Після авторизації, користувачеві надається PIN, який він вводить в додаток, і програма отримує доступ до контенту в Twitter. Іден виявив, що у випадку з такими додатками екран OAuth в Twitter з якоїсь причини відображає некоректну інформацію. В результаті користувачі вважають, що у додатків немає доступу до приватних повідомлень, хоча насправді він є.
Іден передав інформацію про уразливість адміністрації Twitter. Проблема вже виправлена, а дослідник отримав нагороду в розмірі $2 940.
