Баг в Twitter позволял сторонним разработчикам читать личные сообщения пользователей
Разработчики Twitter предупредили, что из-за бага в одном из API компании, появившегося еще в мае 2017 года и обнаруженного только сейчас, неавторизованные разработчики могли иметь доступ к личным сообщениям и «закрытым» твитам пользователей.
Проблему обнаружили 10 сентября 2018 года, в составе Account Activity API (AAAPI). В основном данный инструмент используется зарегистрированными разработчиками для бизнес-коммуникаций с клиентами.
Представители Twitter объясняют, что пострадать могли те пользователи, которые за последние 16 месяцев взаимодействовали с аккаунтами и бизнес-акккаунтами, использовавшими AAAPI. Из-за ошибки в коде приватные твиты этих пользователей и их личные сообщения (одно или более) могли попасть в руки других, неавторизованных разработчиков.
Пострадавших из-за этой ошибки пользователей уже уведомляют о случившемся через официальный сайт и мобильные приложения (см. иллюстрацию выше). Также в компании подчеркивают, что уже ведутся переговоры с разработчиками, которые могли по ошибке получать чужие данные. Представители Twitter обещают проследить за тем, чтобы те выполнили свои обязательства, и эта информация была удалена.
Точно неизвестно, сколько пользователей пострадало за почти полтора года существования бага. По сути, в компании даже не могут подтвердить, были ли чьи-то данные фактически переданы не тем разработчикам. В официальном заявлении сказано, что ошибка в коде могла затронуть около 1% пользовательской базы Twitter. Но учитывая, что аудитория Twitter насчитывает 336 млн активных пользователей ежемесячно, получается, что речь идет примерно о 3 млн потенциальных пострадавших.