Twitter

ИБ-специалист Теренс Иден получил от Twitter вознаграждение за то, что рассказал об уязвимости, позволявшей читать личные сообщения других пользователей. Он получил за это 2940 долларов.

По словам Идена, проблема была вызвана тем, что ключи и секреты для официального API утекли и стали доступны публично, то есть любой желающий мог обращаться к внутренним инструментам Twitter напрямую, минуя пользовательский интерфейс сервиса. В Twitter предусмотрена защита от такого: после успешного входа приложение использовало только заранее определённые адреса или PIN-коды. Иден обнаружил, что во втором случае пользователям выдавалась некорректная информация: они видели предупреждение о том, что приложение не может получить доступ к переписке, хотя на самом деле это не так.

Twitter

В дальнейшем приложение могло выгрузить всю переписку и перенаправить её злоумышленнику. Иден сообщил об этом баге в начале ноября, и спустя месяц проблема была устранена. Успел ли кто-нибудь воспользоваться этой возможностью, неизвестно, но в теории таким образом можно было читать переписку любого пользователя, авторизовавшегося через Twitter в стороннем сервисе.



iGuides в Telegram — t.me/iguides_ru
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru