Приложение от жуликов не запрашивало доступ к переписке напрямую. Фото: shkspr.mobi
Инженеры Twitter исправили уязвимость, связанную с утечкой ключей для официального Twitter API -программного интерфейса приложения. Исследователь интернет-безопасности Теренс Иден получил за ее обнаружение почти 3 тысячи долларов от компании. Об этом Иден рассказал в своем блоге.
Официальные ключи от Twitter API утекли давно и были в открытом доступе. Поэтому мошенники могли создать программу, похожую на настоящую, и читать сообщения пользователей. Например, приложение, похожее на новое от соцсети, не запрашивает доступ к личной переписке, и вроде бы можно вздохнуть спокойно, говорит Иден.
"Вы авторизируетесь – и в мир быстро утекает вся ваша эротика, скользкие шуточки и грязные мемы. Трагедия!", – шутит автор блога. Разработчики Twitter использовали OAuth, чтобы защитить переписку, но это не помогало.
Когда он сообщил об уязвимости, компания подтвердила проблему и предложила $2 940 вознаграждения. Иден отметил это бочонком сидра.
6 декабря Twitter исправил проблему. Теперь официальное приложение использует callback URL. После того, как пользователь залогинился, приложение вернется на заранее определенный URL. Но не все приложения используют URL и поддерживают callback. Для таких случаев система присылает PIN, который необходимо ввести в приложение.
В приложение нужно ввести PIN-код, если оно не поддерживает callback URL. Фото: shkspr.mobi
Комитет Сената США по разведке опубликует сегодня два доклада, посвященные российской медиа-кампании, которая должна была разделить американское общество.
Социальная сеть Instagram подвела итоги 2018 года, проанализировав поставленные пользователями лайки, геолокации и хештеги.
Напомним, в Twitter планируют убрать кнопку "нравится". Функция "лайк" в форме сердечка была введена в 2015 году и заменила предыдущую кнопку "favourites".
Ранее хакер рассекретил способ защиты Microsoft. Пользователь Twitter поведал о необычном способе, который использует Microsoft для защиты своей игровой приставки Xbox.
Также мы писали, что Twitter анонсировал появление новой возможности. Время появления такого востребованного функционала пока не объявлено.