信息泄漏漏洞暴露数百万推特用户的直接信息

翻译：360代码卫士团队

推特修复了一个信息泄漏漏洞，它可导致用户的直接信息被发送至第三方开发者而不是和用户交互的开发者。这个问题已经存在一年多，数百万用户受影响。

推特表示，这个问题和账户活动 API (AAAPI) 有关，它可导致在推特开发者计划上注册的开发人员构建工具，以更好地支持公司及客户在平台上的通讯。

在2017年5月至2018年9月10日期间，凡是通过 AAAPI 依靠开发者的推特上的账户或公司进行交互的用户，他们的信息都可能被发送至其它的注册开发者。

推特表示，“在某些情况下，这可能包括某些直接信息或受保护的推文，例如授权 AAAPI 开发者的航空公司的直接信息。同样，如果你的公司通过 AAAPI 授权开发者访问你的账户，那么这个 bug 也可能错误地影响你的活动数据。”

推特表示，受影响的用户数量不足1%，但即便如此，仍然代表越300万用户的账户受影响。2018年第二季度，推特报告称活跃用户数量达到3.35亿人。推特已通知受影响用户，同时已联系接收到错误信息的开发者，以确保信息被删。

虽然这看似是一个严重问题，DNA推特声称要求具备一定的技术上下文才能触发该 bug。比如，两个或两个以上的注册开发者在相同的公共 IP 上的域名订阅了 AAAPI，在相同的6分钟时间框架内匹配来自这两个开发的 URL 路径活动 ( example.com/[webhooks/twitter] 和anotherexample.com/[webhooks/twitter])，而且订阅用户活动源自相同的推特后端服务器。

上周五，推特表示，“我们团队一直在和最活跃的能够访问这个 API 的企业数据客户和合作伙伴一道，评估他们是否受影响。截至目前，通过我们的努力以及从合作伙伴提供的信息来看，我们可以确认，这个 bug 并未影响我们已审查完毕的任何合作伙伴或客户。”

原文链接

https://www.securityweek.com/millions-twitter-users-affected-information-exposure-flaw

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。