Twitter’dagi xato foydalanuvchilarning shaxsiy xabarlariga kirishga ruxsat berdi.

Zaiflik tufayli ba’zi ruxsatnomalar, masalan, shaxsiy xabarlarga kirish, foydalanuvchilardan yashirin qoldi.

Twitter foydalanuvchilarning shaxsiy xabarlarini uchinchi shaxslarga oshkor qilgan xatoni tuzatdi. Muammo Oauth protokolidan foydalanish o’rniga, avtorizatsiya jarayonini yakunlash uchun PIN-kodni talab qiladigan ilovalardan foydalanganda yuzaga keldi. Natijada, shaxsiy xabarlarga kirish kabi ba’zi ruxsatnomalar Twitter foydalanuvchilaridan yashirin qoldi. Zaiflikni aniqlagan tadqiqotchi Terens Edenning so’zlariga ko’ra, muammo rasmiy Twitter API ilova ishlab chiquvchilari avtorizatsiyasiz kirishlari mumkin bo’lgan kalitlar va sirlarni qanday boshqarishida.

«Bir necha yil oldin Twitterning rasmiy API kalitlari sizib chiqqan edi. Bu shuni anglatadiki, Twitter tomonidan tasdiqlanmagan ilovalarni ishlab chiquvchilar hali ham APIga kirishlari mumkin», deb tushuntirdi mutaxassis.

Suiiste’mollikning oldini olish uchun ijtimoiy platforma bir qator choralarni, jumladan, qayta qo’ng’iroq qilish URL manzillarini cheklashni amalga oshirdi, ya’ni tasdiqlangan ilovalar faqat oldindan belgilangan manzilga kirishi mumkin. Biroq, ba’zi ilovalar URL manzillaridan foydalanmaydi yoki qayta qo’ng’iroq qilishni qo’llab-quvvatlamaydi. Bunday holatlar uchun Twitter qo’shimcha autentifikatsiya mexanizmini – PIN-kodni joriy qildi.

«Siz tizimga kirasiz, sizga PIN-kod beriladi, siz PIN-kodni ilovaga kiritasiz» va ilova Twitter kontentiga kirish huquqiga ega bo’ladi, deydi Eden. Uning aniqlanishicha, bunday ilovalar bilan Twitterning OAuth ekrani biron sababga ko’ra noto’g’ri ma’lumotlarni ko’rsatadi. Natijada, foydalanuvchilar ilovalar shaxsiy xabarlarga kirish huquqiga ega bo’lishiga qaramay, ularga kirish imkoni yo’q deb hisoblashadi.

Eden Twitter’dagi zaiflik haqida xabar berdi. Muammo o‘shandan beri hal qilindi va tadqiqotchi 2940 dollar mukofot oldi.