ИБ-специалист Теренс Иден получил от Twitter вознаграждение за то, что рассказал об уязвимости, позволявшей читать личные сообщения других пользователей. Он получил за это 2940 долларов.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

По словам Идена, проблема была вызвана тем, что ключи и секреты для официального API утекли и стали доступны публично, то есть любой желающий мог обращаться к внутренним инструментам Twitter напрямую, минуя пользовательский интерфейс сервиса. В Twitter предусмотрена защита от такого: после успешного входа приложение использовало только заранее определённые адреса или PIN-коды. Иден обнаружил, что во втором случае пользователям выдавалась некорректная информация: они видели предупреждение о том, что приложение не может получить доступ к переписке, хотя на самом деле это не так.



В дальнейшем приложение могло выгрузить всю переписку и перенаправить её злоумышленнику. Иден сообщил об этом баге в начале ноября, и спустя месяц проблема была устранена. Успел ли кто-нибудь воспользоваться этой возможностью, неизвестно, но в теории таким образом можно было читать переписку любого пользователя, авторизовавшегося через Twitter в стороннем сервисе.

---

iGuides в Telegram — t.me/iguides_ru
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru