Twitter漏洞，或造成使用者私密訊息洩露

(圖片來自CNBC）

該漏洞存在於Twitter的帳戶活動API（AAAPI）中，它允許註冊開發人員構建工具，以便在Twitter上與客戶進行通訊。

Twitter在週五的帖子中稱，如果你在Twitter上依賴開發人員，使用AAAPI提供服務的帳戶或業務進行互動，那麼這些錯誤可能會導致其中一些互動被無意地傳送給另一家註冊開發商。在某些情況下，被無意傳送的可能包括某些直接訊息或受保護的推文，例如與已授權AAAPI開發人員的航空公司的直接訊息。同樣，如果你的企業授權使用AAAPI的開發人員訪問你的帳戶，則該錯誤可能會誤導你的活動資料。

當兩個或多個註冊開發人員為同一公共IP的域配置AAAPI訂閱時，可能發生了該錯誤；如果他們有和其訂閱相關的活動發生在相同的六個月內，並且他們的訂閱者的活動來自Twitter資料中心的同一個後端伺服器，那麼也可能發生該錯誤。此外，對於活動訂閱，URL路徑（在域之後）必須與這些已註冊的開發人員完全匹配才能觸發該問題。

Twitter發言人表示，公司有信心資料沒有被濫用：“任何可能收到意外資訊的一方，都是通過我們的【開發者計劃】註冊的開發人員，我們近幾個月已經大大擴充套件，以防止濫用。”

儘管如此，受影響的使用者，如Twitter使用者John Opdenakker，也會到平臺上查詢問題。

（圖片來自threatpost）

Twitter表示其調查仍在進行中，但任何受影響的使用者都會通過應用內的通知得到訊息。

今年早些時候，Twitter發生過另一起事件，它在5月份表示，一個漏洞導致帳戶密碼以純文字形式儲存在內部日誌中。通過平臺傳送通知，使用者爭先恐後地更改密碼。Twitter表示發現並修復了該漏洞，並且其調查顯示沒有任何違規或濫用的跡象。

（圖片來自threatpost）

今年早些時候，Twitter發生過另一起事件，它在5月份表示，一個漏洞導致帳戶密碼以純文字形式儲存在內部日誌中。通過平臺傳送通知，使用者爭先恐後地更改密碼。Twitter表示發現並修復了該漏洞，並且其調查顯示沒有任何違規或濫用的跡象。

（圖片來自threatpost）

Twitter的技術長Parag Agrawal在部落格文章中曾說，“由於存在錯誤，密碼會在完成雜湊過程之前寫入內部日誌......我們自己發現了這個錯誤，刪除了密碼，並且正在實施防止此錯誤再次發生的計劃。”

安全研究員Troy Hunt曾就Twitter密碼漏洞表示，現實世界對使用者的故障風險可能非常低：“我可以看到它會如何發生，日誌通常很大程度上是自動化的，但顯然這是一次大規模的疏忽。” “出於同樣的原因，如果問題的嚴重程度是密碼被捕獲到內部日誌中，那麼日誌就不會被曝光，而且他們隨後會清除這些日誌，現實世界的風險可能非常低。”

這兩起事件都來自Twitter，像Facebook一樣，Twitter正在努力加強資料隱私保護工作。

參考來源：

• threatpost
• CNBC
  

- End -

看雪 更多閱讀推薦：

• 山東濟南一95後“黑客”竊取公民資訊被判三年半

• 布裡斯托爾機場大屏被勒索軟體攻佔 耗時2天終於恢復

• 八成資料洩漏因為內鬼：優質資訊售價驚人

• 研究顯示45%的惡意軟體有效負載通過微軟Office巨集傳送