Twitter исправил баг, позволяющий читать чужие сообщения

18 декабря 2018, 05:41

Инженер получил от компании три тысячи долларов

Инженеры Twitter исправили уязвимость, связанную с утечкой ключей для официального Twitter API -программного интерфейса приложения. Исследователь интернет-безопасности Теренс Иден получил за ее обнаружение почти 3 тысячи долларов от компании. Об этом Иден рассказал в своем блоге.

Реклама

Официальные ключи от Twitter API утекли давно и были в открытом доступе. Поэтому мошенники могли создать программу, похожую на настоящую, и читать сообщения пользователей. Например, приложение, похожее на новое от соцсети, не запрашивает доступ к личной переписке, и вроде бы можно вздохнуть спокойно, говорит Иден.

"Вы авторизируетесь – и в мир быстро утекает вся ваша эротика, скользкие шуточки и грязные мемы. Трагедия!", – шутит автор блога. Разработчики Twitter использовали OAuth, чтобы защитить переписку, но это не помогало.

Когда он сообщил об уязвимости, компания подтвердила проблему и предложила $2 940 вознаграждения. Иден отметил это бочонком сидра.

6 декабря Twitter исправил проблему. Теперь официальное приложение использует callback URL. После того, как пользователь залогинился, приложение вернется на заранее определенный URL. Но не все приложения используют URL и поддерживают callback. Для таких случаев система присылает PIN, который необходимо ввести в приложение.

Реклама

iphone-pin-fs8

В тренде
"Венецианка" оценила закон о Высшем совете правосудия: о чем идет речь

В приложение нужно ввести PIN-код, если оно не поддерживает callback URL. Фото: shkspr.mobi

Комитет Сената США по разведке опубликует сегодня два доклада, посвященные российской медиа-кампании, которая должна была разделить американское общество.
Социальная сеть Instagram подвела итоги 2018 года, проанализировав поставленные пользователями лайки, геолокации и хештеги.

Напомним, в Twitter планируют убрать кнопку "нравится". Функция "лайк" в форме сердечка была введена в 2015 году и заменила предыдущую кнопку "favourites".

Ранее хакер рассекретил способ защиты Microsoft. Пользователь Twitter поведал о необычном способе, который использует Microsoft для защиты своей игровой приставки Xbox.

Реклама

Также мы писали, что Twitter анонсировал появление новой возможности. Время появления такого востребованного функционала пока не объявлено.

Подпишись на наш telegram

Только самое важное и интересное

Подписаться

Реклама

Читайте Segodnya.ua в Google News

Реклама

Нажимая на кнопку «Принять» или продолжая пользоваться сайтом, вы соглашаетесь с правилами использования файлов cookie.

Принять