До начала декабря сторонние приложения могли получать доступ к личным сообщениям пользователей Twitter. По данным компании, этой уязвимостью никто не воспользовался. Теренсу Идену, который её нашёл, выплатили почти 3 тысячи долларов по программе Bug Bounty.
Как приложения получали доступ?
В 2013 году произошла утечка ключей к Twitter API — так приложения могли получать доступ к интерфейсу в обход соцсети. Для защиты пользователей Twitter реализовала механизм авторизации приложений через заранее определённые адреса (Callback URL), но он подходил не всем.
Приложения, не поддерживающие Callback URL, могли авторизоваться через PIN-коды. При такой авторизации всплывает окно, которое перечисляет, к каким данным пользователь открывает доступ. Окно не запрашивало доступ к личным сообщениям, но на самом деле приложение его получало.
А сейчас сообщения защищены?
6 декабря Twitter сообщила, что решила проблему. Судя по заявлению компании на сайте HackerOne, воспользоваться этой уязвимостью никто не успел.
Это не первая ИБ-ошибка соцсети, связанная с API. В сентябре Twitter обнаружила баг в AAAPI (Account Activity API): система отправляла копию личного сообщения пользователя случайному получателю.