Мы обновили правила сбора и хранения персональных данных

Вы можете ознакомиться c изменениямы в политике конфиденциальности. Нажимая накнопку «Принять» или продолжая пользоваться сайтом, вы соглашаетесь с обновленными правилами и даете разрешение на использование файлов cookie.

Принять

Twitter исправил баг, позволяющий читать чужие сообщения

18 декабря 2018, 05:41

Инженер получил от компании три тысячи долларов

Приложение от жуликов не запрашивало доступ к переписке напрямую. Фото: shkspr.mobi

Приложение от жуликов не запрашивало доступ к переписке напрямую. Фото: shkspr.mobi

Инженеры Twitter исправили уязвимость, связанную с утечкой ключей для официального Twitter API -программного интерфейса приложения. Исследователь интернет-безопасности Теренс Иден получил за ее обнаружение почти 3 тысячи долларов от компании. Об этом Иден рассказал в своем блоге.

Официальные ключи от Twitter API утекли давно и были в открытом доступе. Поэтому мошенники могли создать программу, похожую на настоящую, и читать сообщения пользователей. Например, приложение, похожее на новое от соцсети, не запрашивает доступ к личной переписке, и вроде бы можно вздохнуть спокойно, говорит Иден.

"Вы авторизируетесь – и в мир быстро утекает вся ваша эротика, скользкие шуточки и грязные мемы. Трагедия!", – шутит автор блога. Разработчики Twitter использовали OAuth, чтобы защитить переписку, но это не помогало.

Когда он сообщил об уязвимости, компания подтвердила проблему и предложила $2 940 вознаграждения. Иден отметил это бочонком сидра.

Реклама

6 декабря Twitter исправил проблему. Теперь официальное приложение использует callback URL. После того, как пользователь залогинился, приложение вернется на заранее определенный URL. Но не все приложения используют URL и поддерживают callback. Для таких случаев система присылает PIN, который необходимо ввести в приложение.

iphone-pin-fs8

В тренде
"В рай думает попасть?": Путин снова стал объектом насмешек в сети
Владимир Путин в ВГИКе

В приложение нужно ввести PIN-код, если оно не поддерживает callback URL. Фото: shkspr.mobi

Комитет Сената США по разведке опубликует сегодня два доклада, посвященные российской медиа-кампании, которая должна была разделить американское общество.
Социальная сеть Instagram подвела итоги 2018 года, проанализировав поставленные пользователями лайки, геолокации и хештеги.

Напомним, в Twitter планируют убрать кнопку "нравится". Функция "лайк" в форме сердечка была введена в 2015 году и заменила предыдущую кнопку "favourites".

Ранее хакер рассекретил способ защиты Microsoft. Пользователь Twitter поведал о необычном способе, который использует Microsoft для защиты своей игровой приставки Xbox.

Также мы писали, что Twitter анонсировал появление новой возможности. Время появления такого востребованного функционала пока не объявлено.

Читайте самые важные и интересные новости в нашем Telegram

Реклама

Реклама

Новости партнеров

Загрузка...

Новости партнеров

Loading...
загрузка...