Neuer Bug bei Twitter entdeckt, der es Drittentwicklern ermöglicht, private Nachrichten einzusehen, die von Nutzern mit Support-Diensten ausgetauscht wurden
Ein neuer Bug wurde im beliebten sozialen Netzwerk Twitter entdeckt.
Ein neuer Fehler wurde in Twitters beliebter Social-Media-Website entdeckt. Eine Schwachstelle im System zur Verwaltung privater Nachrichten ermöglichte es Entwicklern von Drittanbietern, private Nachrichten, die zwischen Nutzern ausgetauscht wurden, ohne die erforderliche Autorisierung zu lesen.
Der Fehler wurde in Twitters Account Activity API entdeckt, dem System, das es Entwicklern von Drittanbietern ermöglicht, Kommunikationstools auf der Social-Media-Website zu erstellen. Normalerweise haben Entwickler Zugang zu den öffentlichen Echtzeitdaten einiger Benutzer, sollten aber keinen Zugang zu privaten Nachrichten haben. Aufgrund der Sicherheitslücke wurden jedoch auch die privaten Nachrichten der Nutzer in das Paket von Informationen aufgenommen, die ohne Genehmigung an Entwickler außerhalb der sozialen Medien weitergegeben wurden. Der Fehler betrifft nicht Unterhaltungen zwischen zwei privaten Nutzern, sondern nur zwischen denjenigen, die soziale Medien genutzt haben, um die Kundensupportseite eines Unternehmens zu kontaktieren. Der Fehler betrifft nicht Unterhaltungen zwischen zwei privaten Nutzern, sondern nur zwischen denjenigen, die soziale Medien genutzt haben, um mit der Kundenbetreuung eines Unternehmens in Kontakt zu treten. Unsere privaten Nachrichten, die "öffentlich" geworden sind, sind also solche, die sich auf die Nutzung der Kundenbetreuung auf Twitter beziehen.
Neue Sicherheitslücke bei Twitter
Twitter hat jedoch mitgeteilt, dass es keine Beweise dafür gibt, dass Nachrichten von Nutzern, die für eine Kundenbetreuung bestimmt waren, versehentlich bei Drittentwicklern gelandet sind. Der Fehler wurde am 10. September entdeckt und Twitter brauchte etwa zwei Wochen, um ihn zu beheben, obwohl die Schwachstelle wahrscheinlich schon seit Mai 2017 vorhanden war. Dem Bericht zufolge wurde nur 1 Prozent der Nachrichten, die über die Account Activity API von Twitter verschickt wurden, falsch zugestellt, wobei die Nachricht nicht beim Kundendienst, sondern bei einer anderen Person ankam. Diejenigen, die von der Sicherheitslücke betroffen waren, wurden von den Entwicklern der sozialen Medien umgehend per Pop-up-Benachrichtigung informiert. Entwickler, die Informationen von Konten erhalten haben, die ihnen nicht gehören, wurden von Twitter aufgefordert, alle Daten zu löschen, um rechtliche Konsequenzen zu vermeiden.