Un bug de Twitter rendait les messages privés publics


Nouveau bug découvert sur Twitter qui permettait aux développeurs tiers de voir les messages privés échangés par les utilisateurs avec les services d'assistance

Un nouveau bug a été découvert au sein du célèbre média social Twitter.

Un nouveau bug a été découvert sur le populaire site de médias sociaux Twitter, où une faille dans le système de gestion des messages privés a permis à des développeurs tiers de lire les messages privés échangés entre les utilisateurs sans l'autorisation nécessaire.

Le bug a été découvert dans l'API d'activité de compte de Twitter, qui est le système qui permet aux développeurs tiers de créer des outils de communication au sein du site de médias sociaux. En général, les développeurs ont accès aux données publiques en temps réel de certains utilisateurs, mais ne devraient pas avoir accès aux messages privés. Or, en raison de la faille de sécurité, les messages privés des utilisateurs ont également été inclus dans le lot d'informations accordées sans autorisation à des développeurs extérieurs aux médias sociaux. Le bogue n'affecte pas les conversations entre deux utilisateurs privés, mais uniquement entre ceux qui ont utilisé les médias sociaux pour contacter la page d'assistance clientèle d'une entreprise. Le bug n'affecte pas les conversations entre deux utilisateurs privés, mais uniquement entre ceux qui ont utilisé les médias sociaux pour contacter la page d'assistance clientèle d'une entreprise. Ainsi, nos messages privés devenus " publics " sont ceux relatifs à l'utilisation des services d'assistance clientèle sur Twitter.

Nouveau bug de sécurité pour Twitter

Twitter a toutefois fait savoir que rien ne prouve que les messages des utilisateurs destinés à un service d'assistance clientèle se soient retrouvés accidentellement chez des développeurs tiers. Le bug a été découvert le 10 septembre et il a fallu environ deux semaines à Twitter pour le corriger, même si la faille était très probablement présente depuis mai 2017. Selon le rapport, seul 1 % des messages envoyés à l'aide de l'API d'activité de compte de Twitter ont pu être mal délivrés, le message arrivant non pas au service clientèle mais à une autre personne. Les personnes concernées par la faille de sécurité ont été rapidement averties par les développeurs de médias sociaux par le biais d'une notification contextuelle. Les développeurs qui ont reçu des informations provenant de comptes qui ne leur appartiennent pas ont été invités par Twitter à supprimer toute donnée afin d'éviter des répercussions juridiques.


Laisser un commentaire