Twitter виправив баг, що дозволяє читати чужі повідомлення

18 грудня 2018, 05:41

Інженер отримав від компанії три тисячі доларів

Інженери Twitter виправили вразливість, пов'язану з витоком ключів для офіційного Twitter API -програмні інтерфейси додатку. Дослідник інтернет-безпеки Теренс Іден отримав за її виявлення майже 3 тисячі доларів від компанії. Про це Іден розповів у своєму блозі.

Реклама

Офіційні ключі від Twitter API витекли давно і були у відкритому доступі. Тому шахраї могли створити програму, схожу на справжню, і читати повідомлення користувачів. Наприклад, додаток, схожий на новий від соцмережі, не запитує доступ до особистого листування, і нібито можна зітхнути спокійно, говорить Іден.

"Ви авторизуєтесь – і в світ швидко витікає вся ваша еротика, слизькі жарти і брудні меми. Трагедія!", – жартує автор блогу. Розробники Twitter використовували OAuth, щоб захистити листування, але це не допомагало.

Коли він повідомив про вразливість, компанія підтвердила проблему і запропонувала $ 2 940 винагороди. Іден відзначив це бочечкою сидру.

6 грудня Twitter виправив проблему. Тепер офіційний додаток використовує callback URL. Після того, як користувач залогінився, додаток повернеться на заздалегідь визначений URL. Але не всі програми використовують URL і підтримують callback. Для таких випадків система надсилає PIN, який необхідно ввести в додаток.

Реклама

iphone-pin-fs8

В додаток потрібно ввести PIN-код, якщо він не підтримує callback URL. Фото: shkspr.mobi

В тренді
"Венеціанка" оцінила закон про Вищу раду правосуддя: про що йдеться

Комітет Сенату США з розвідки опублікує сьогодні дві доповіді, присвячені російській медіа-кампанії, яка мала розділити американське суспільство.

Соціальна мережа Instagram підвела підсумки 2018 року, проаналізувавши поставлені користувачами лайки, геолокації і хештеги.

Нагадаємо, у Twitter планують прибрати кнопку "подобається". Функція "лайк" у формі сердечка була введена 2015 року і замінила попередню кнопку "favourites".

Реклама

Раніше хакер розсекретив спосіб захисту Microsoft.. Користувач Twitter розповів про незвичайний спосіб, який використовує Microsoft для захисту своєї ігрової приставки Xbox.

Також ми писали, що Twitter анонсував появу нової можливості. Час появи такого затребуваного функціоналу наразі не оголошено.

Підпишись на наш telegram

Лише найважливіше та найцікавіше

Підписатися

Реклама

Читайте Segodnya.ua у Google News

Реклама

Натискаючи на кнопку «Прийняти» або продовжуючи користуватися сайтом, ви погоджуєтеся з правилами використання файлів cookie.

Прийняти