Додаток від шахраїв не запитував доступ до листування безпосередньо. Фото: shkspr.mobi
Інженери Twitter виправили вразливість, пов'язану з витоком ключів для офіційного Twitter API -програмні інтерфейси додатку. Дослідник інтернет-безпеки Теренс Іден отримав за її виявлення майже 3 тисячі доларів від компанії. Про це Іден розповів у своєму блозі.
Офіційні ключі від Twitter API витекли давно і були у відкритому доступі. Тому шахраї могли створити програму, схожу на справжню, і читати повідомлення користувачів. Наприклад, додаток, схожий на новий від соцмережі, не запитує доступ до особистого листування, і нібито можна зітхнути спокійно, говорить Іден.
"Ви авторизуєтесь – і в світ швидко витікає вся ваша еротика, слизькі жарти і брудні меми. Трагедія!", – жартує автор блогу. Розробники Twitter використовували OAuth, щоб захистити листування, але це не допомагало.
Коли він повідомив про вразливість, компанія підтвердила проблему і запропонувала $ 2 940 винагороди. Іден відзначив це бочечкою сидру.
6 грудня Twitter виправив проблему. Тепер офіційний додаток використовує callback URL. Після того, як користувач залогінився, додаток повернеться на заздалегідь визначений URL. Але не всі програми використовують URL і підтримують callback. Для таких випадків система надсилає PIN, який необхідно ввести в додаток.
В додаток потрібно ввести PIN-код, якщо він не підтримує callback URL. Фото: shkspr.mobi
Комітет Сенату США з розвідки опублікує сьогодні дві доповіді, присвячені російській медіа-кампанії, яка мала розділити американське суспільство.
Соціальна мережа Instagram підвела підсумки 2018 року, проаналізувавши поставлені користувачами лайки, геолокації і хештеги.
Нагадаємо, у Twitter планують прибрати кнопку "подобається". Функція "лайк" у формі сердечка була введена 2015 року і замінила попередню кнопку "favourites".
Раніше хакер розсекретив спосіб захисту Microsoft.. Користувач Twitter розповів про незвичайний спосіб, який використовує Microsoft для захисту своєї ігрової приставки Xbox.
Також ми писали, що Twitter анонсував появу нової можливості. Час появи такого затребуваного функціоналу наразі не оголошено.