Un bug di Twitter ha reso pubblici i messaggi privati
Scoperto un nuovo bug su Twitter che permetteva a sviluppatori di terze parti di vedere i messaggi privati scambiati dagli utenti con i servizi di assistenza
Un nuovo bug è stato scoperto all’interno del famoso social media Twitter. A causa di una falla sul sistema di gestione dei messaggi privati alcuni sviluppatori di terze parti sono stati in grado di leggere i messaggi privati scambiati tra gli utenti anche senza l’autorizzazione necessaria.
Il bug è stato scoperto all’interno dell’API Account Activity di Twitter, in pratica il sistema che consente agli sviluppatori di terze parti di creare degli strumenti per la comunicazione interni al social media. Solitamente gli sviluppatori hanno accesso ad alcuni dati pubblici in tempo reale di alcuni utenti, ma non dovrebbero avere accesso ai messaggi privati. A causa della falla di sicurezza, invece, anche i messaggi privati degli utenti sono stati inclusi nel pacchetto di informazioni concesso senza autorizzazione agli stessi sviluppatori esterni al social media. Il bug non riguarda le conversazioni tra due utenti privati ma solo tra coloro che hanno usato il social per contattare la pagina di assistenza clienti di un’azienda. Dunque i nostri messaggi privati diventati “pubblici” sono quelli relativi all’uso dei servizi di customer care su Twitter.
Nuovo bug di sicurezza per Twitter
Twitter ha fatto sapere comunque che non c’è prova che i messaggi degli utenti destinati a un servizio di assistenza clienti siano finiti per sbaglio a degli sviluppatori di terze parti . Il bug è stato scoperto il 10 settembre e Twitter ha impiegato circa due settimane per risolverlo, anche se molto probabilmente la falla era presente già da maggio 2017. Stando al report solo l’1% dei messaggi inviati sfruttando l’API Account Activity di Twitter potrebbe aver subito un errore di invio arrivando non al servizio di assistenza clienti ma a un’altra persona. Le persone interessate dalla falla di sicurezza sono state prontamente avvisati tramite notifica pop-up dagli sviluppatori del social media. Gli sviluppatori che in caso hanno ricevuto delle informazioni da account non di loro pertinenza sono intanto stati invitati da Twitter a cancellare ogni dato per non subire delle ripercussioni anche legali.
