Ошибка в Twitter более 4 лет раскрывала частные сообщения пользователей Android
Уязвимость приводила к отключению настройки «Protect your Tweets», открывая все защищенные сообщения.
Компания Twitter призналась в наличии уязвимости, из-за которой закрытые сообщения пользователей Android-версии приложения в течение более чем четырех лет были публично доступны. При регистрации в Twitter все твиты по умолчанию являются общедоступными, при желании пользователь может воспользоваться опцией «Protect your Tweets» и включить защиту сообщений. По словам представителей соцсети, уязвимость, существовавшая с 3 ноября 2014 года, приводила к отключению настройки «Protect your Tweets» без ведома пользователя, в результате все защищенные сообщения становились открытыми. Как отмечается, проблема затрагивает только пользователей Android-версии Twitter, изменявших адрес электронной почты или привязанный к учетной записи номер мобильного телефона, в период с 3 ноября 2014 года по 14 января 2019 года. Уязвимость не затрагивает пользователей iOS- и десктопной версий приложения.
Компания не раскрыла информацию о том, каким образом был обнаружен баг, и сколько пользователей могло пострадать в результате ошибки. Вполне вероятно, речь может идти о значительном количестве пострадавших, учитывая, что за четыре года большинство пользователей наверняка хотя бы раз изменяло настройки в своей учетной записи. По словам администрации соцсети, уязвимость была исправлена 14 января текущего года.
В минувшем декабре исследователи в области безопасности сообщили сразу о трех уязвимостях в Twitter. Одна из них позволяла взломать учетную запись в Twitter с помощью номера телефона жертвы, вторая предоставляла доступ к личным сообщениям пользователей, а третья раскрывала номер мобильного телефона, привязанный к учетной записи.