Twitter漏洞,或造成使用者私密訊息洩露

Editor發表於2018-09-23

Twitter週五表示,最近修補的BUG,使軟體開發人員能夠閱讀使用者的私人訊息或受保護的推文。


該漏洞存在於2017年5月,直到9月10日才被發現。之後Twitter修補了故障,以防止資料被無意中傳送給錯誤的開發人員。 Twitter表示,在超過3.35億月活躍的使用者中,受影響的使用者不到1%。


在這一漏洞被披露後,Twitter股價一度下探28.49美元。今天常規交易中,Twitter股價報收於28.5美元,跌幅超過4.5%。

Twitter漏洞,或造成使用者私密訊息洩露
(圖片來自CNBC)

該漏洞存在於Twitter的帳戶活動API(AAAPI)中,它允許註冊開發人員構建工具,以便在Twitter上與客戶進行通訊。


Twitter在週五的帖子中稱,如果你在Twitter上依賴開發人員,使用AAAPI提供服務的帳戶或業務進行互動,那麼這些錯誤可能會導致其中一些互動被無意地傳送給另一家註冊開發商。在某些情況下,被無意傳送的可能包括某些直接訊息或受保護的推文,例如與已授權AAAPI開發人員的航空公司的直接訊息。同樣,如果你的企業授權使用AAAPI的開發人員訪問你的帳戶,則該錯誤可能會誤導你的活動資料。


當兩個或多個註冊開發人員為同一公共IP的域配置AAAPI訂閱時,可能發生了該錯誤;如果他們有和其訂閱相關的活動發生在相同的六個月內,並且他們的訂閱者的活動來自Twitter資料中心的同一個後端伺服器,那麼也可能發生該錯誤。此外,對於活動訂閱,URL路徑(在域之後)必須與這些已註冊的開發人員完全匹配才能觸發該問題。


Twitter發言人表示,公司有信心資料沒有被濫用:“任何可能收到意外資訊的一方,都是通過我們的【開發者計劃】註冊的開發人員,我們近幾個月已經大大擴充套件,以防止濫用。”


儘管如此,受影響的使用者,如Twitter使用者John Opdenakker,也會到平臺上查詢問題。


Twitter漏洞,或造成使用者私密訊息洩露
(圖片來自threatpost)

Twitter表示其調查仍在進行中,但任何受影響的使用者都會通過應用內的通知得到訊息。


今年早些時候,Twitter發生過另一起事件,它在5月份表示,一個漏洞導致帳戶密碼以純文字形式儲存在內部日誌中。通過平臺傳送通知,使用者爭先恐後地更改密碼。Twitter表示發現並修復了該漏洞,並且其調查顯示沒有任何違規或濫用的跡象。


Twitter漏洞,或造成使用者私密訊息洩露

(圖片來自threatpost)



Twitter表示其調查仍在進行中,但任何受影響的使用者都會通過應用內的通知得到訊息。


今年早些時候,Twitter發生過另一起事件,它在5月份表示,一個漏洞導致帳戶密碼以純文字形式儲存在內部日誌中。通過平臺傳送通知,使用者爭先恐後地更改密碼。Twitter表示發現並修復了該漏洞,並且其調查顯示沒有任何違規或濫用的跡象。


Twitter漏洞,或造成使用者私密訊息洩露

(圖片來自threatpost)


Twitter的技術長Parag Agrawal在部落格文章中曾說,“由於存在錯誤,密碼會在完成雜湊過程之前寫入內部日誌......我們自己發現了這個錯誤,刪除了密碼,並且正在實施防止此錯誤再次發生的計劃。”


安全研究員Troy Hunt曾就Twitter密碼漏洞表示,現實世界對使用者的故障風險可能非常低:“我可以看到它會如何發生,日誌通常很大程度上是自動化的,但顯然這是一次大規模的疏忽。” “出於同樣的原因,如果問題的嚴重程度是密碼被捕獲到內部日誌中,那麼日誌就不會被曝光,而且他們隨後會清除這些日誌,現實世界的風險可能非常低。”


這兩起事件都來自Twitter,像Facebook一樣,Twitter正在努力加強資料隱私保護工作。



參考來源:

  • threatpost
  • CNBC




- End -




看雪 更多閱讀推薦:



相關文章