Os problemas de segurança e privacidade com APIs e desenvolvedores de aplicativos de terceiros são algo que não é apenas o Facebook que está lidando.
Um bug na API do Twitter inadvertidamente expôs algumas mensagens diretas (DMs) de usuários e tweets protegidos a desenvolvedores de aplicativos de terceiros não autorizados que não deveriam obtê-los, revelou o Twitter em seu Blog de desenvolvedores na sexta-feira.
O que aconteceu?
O Twitter encontrou um bug na API de atividade da conta (AAAPI), que é usada por desenvolvedores registrados para criar ferramentas para dar suporte a comunicações comerciais com seus clientes, e o bug poderia ter exposto as interações desses clientes.
O bug do Twitter AAAPI esteve presente por mais de um ano - de maio de 2017 até 10 de setembro - quando a plataforma de microblog descobriu o problema e o corrigiu "horas depois de descobri-lo".
Em outras palavras, o bug estava ativo na plataforma por quase 16 meses.
"Se você interagiu com uma conta ou empresa no Twitter que dependia de um desenvolvedor usando a AAAPI para fornecer seus serviços, o bug pode ter causado o envio não intencional de algumas dessas interações para outro desenvolvedor registrado", explica o Twitter.
Como isso aconteceu?
O bug reside no modo como o AAAPI do Twitter funciona. Se um usuário interage com uma conta ou empresa no Twitter que usou o AAAPI, o bug "não intencionalmente" envia um ou mais de seus DMs e tweets protegidos para os desenvolvedores errados em vez dos autorizados.
"Com base em nossa análise inicial, uma série complexa de circunstâncias técnicas teve que ocorrer ao mesmo tempo para que esse bug resultasse em informações de conta definitivamente sendo compartilhadas com a fonte errada", explica o Twitter.
"Em alguns casos, isso pode ter incluído certas mensagens diretas ou tweets protegidos, por exemplo, uma mensagem direta com uma companhia aérea que autorizou um desenvolvedor AAAPI. Da mesma forma, se sua empresa autorizou um desenvolvedor usando a AAAPI a acessar sua conta, o bug pode ter impactou seus dados de atividade por engano. "
Quantos usuários do Twitter são afetados?
Embora o Twitter diga que ainda não descobriu nenhuma evidência de que um desenvolvedor errado tenha recebido DMs ou tweets protegidos, a empresa também "não pode confirmar conclusivamente que isso não aconteceu". Então, está notificando pessoas potencialmente impactadas, que, segundo o Twitter, são menos de 1%. Como o Twitter agora tem mais de 336 milhões de usuários ativos mensais, o bug poderia afetar mais de 3 milhões de pessoas.
"Qualquer parte que tenha recebido informações não intencionais foi um desenvolvedor registrado por meio de nosso programa de desenvolvedores, que expandimos significativamente nos últimos meses para evitar abusos e uso indevido de dados", diz a empresa.Deve-se notar que o bug envolve apenas DMs dos usuários e interações com empresas que usam o Twitter "para coisas como atendimento ao cliente" - nem todas as suas DMs.
Como o Twitter está lidando com o problema?
O Twitter diz que a empresa já entrou em contato com desenvolvedores que receberam os dados não intencionais e está "trabalhando com eles para garantir que eles estejam cumprindo suas obrigações de excluir informações que não deveriam ter".
O Twitter diz que sua investigação sobre o bug ainda está "em andamento" e assegura a seus usuários que, no momento, a empresa "não tem motivos para acreditar que qualquer dado enviado a desenvolvedores não autorizados tenha sido mal utilizado".
"Lamentamos muito que isso tenha acontecido", diz o Twitter. "Reconhecemos e valorizamos a confiança que você deposita em nós e estamos comprometidos em ganhar essa confiança todos os dias."
O que os usuários afetados podem fazer?
Nada. Sim, você realmente não pode fazer nada sobre seus dados que já foram colocados em mãos erradas.
Assim como no caso do escândalo Cambridge Analytica, em que o Facebook solicitou que o desenvolvedor excluísse os dados citando sua política de privacidade, mas todos sabemos o que aconteceu, o Twitter só pode garantir que os desenvolvedores cumpram suas obrigações de excluir suas informações, mas não pode confirmar.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário