Twitter以两个新错误引发数据隐私问题

Twitter平台上最近发布的两个漏洞再次引发了对用户数据隐私问题的担忧。

周一，这家社交媒体巨头透露了一个漏洞，该漏洞意外地让不良行为者拉开了国家账户的电话号码 - 并透露，位于中国和沙特阿拉伯的几个IP地址可能一直试图访问暴露的数据。 这是在周末披露的一个棘手的故障之后，它允许几个应用程序读取用户的直接消息 - 即使他们告诉用户他们不会。

与其他社交媒体平台一样，Twitter也因其收集和保护数据的方式受到严格审查。 5月，一个错误导致帐户密码以纯文本形式存储在内部日志中; 并且在9月份，披露了一个漏洞，使软件开发人员能够读取用户的私人直接消息。

研究员Terence Eden通过Twitter的漏洞赏金计划报告了一个新的漏洞，并因其努力获得了3000美元，他告诉Threatpost，监管工作以及对社交媒体数据隐私的高度担忧正在导致公司做出一些改变。

“GDPR意味着公司终于开始严肃对待用户隐私了，”他告诉Threatpost。 “社交应用程序的复杂性 - 以及大量的遗留代码/端点 - 意味着您的个人数据经常会出现意外泄露。”

支持表格问题

Twitter在周一的帖子中透露，其中一个支持表格中的问题可用于发现与其Twitter帐户相关联的用户电话号码的国家/地区代码。

Twitter在调查该漏洞时表示，它注意到一些涉及受影响的客户支持表格API的异常活动：“具体来说，我们观察到大量来自中国和沙特阿拉伯的个人IP地址的查询，”Twitter称。 “虽然我们无法确定某些意图或归属，但有些IP地址可能与国家赞助的参与者有关系。”

账户持有人使用暴露的支持表格与Twitter联系，了解他们账户的问题。 据Twitter称，这个问题已于11月16日修复。

该漏洞还可能让不良行为者发现用户的帐户是否被Twitter锁定。 如果帐户似乎已被盗用或违反Twitter规则或服务条款，则会被锁定。

“重要的是，这个问题没有暴露完整的电话号码或任何其他个人数据，”Twitter在一篇关于这一事件的帖子中说。 “我们直接通知了我们认为受影响的人。 我们正在提供更广泛的通知，因为我们无法识别的其他账户持有人可能会受到影响。“

0Auth Permissions缺陷

在对Twitter的数据保护工作的又一次打击中，Eden在12月14日表示，他发现了一个可以让应用程序访问用户DM的错误 - 即使他们说他们不会处于“权限”崩溃状态。

“出于某种原因，Twitter的OAuth屏幕显示这些应用程序无法访问直接消息，”Eden在一篇关于该漏洞的文章中表示。 “但他们这样做！ 简而言之，可能会欺骗用户允许访问他们的DM。“

问题可以追溯到2013年，当时官方Twitter应用程序用来访问用户的Twitter帐户的OAuth密钥被泄露。 这意味着未经批准的第三方应用程序可以使用密钥来模拟合法的第三方应用程序，并规避Twitter为非官方应用程序提供的任何访问控制措施。

为了保护第三方应用程序获取这些密钥并使用它们将用户发送到他们的应用程序，Twitter提出了“回调地址限制”。这些限制使应用程序提示用户使用预定义的URL访问其应用程序。 这意味着当用户使用他们的Twitter帐户登录应用程序时，回调URL会提供用户在使用其Twitter凭据登录后应该去的位置的说明。

但是，Eden指出，问题在于并非每个应用都有一个URL。 未经Twitter批准的应用程序使用PIN作为授权机制，但PIN应用程序不向用户显示正确的0Auth信息。 这意味着用户可能会被欺骗点击“授权应用”页面，该页面不会将DM的访问权限列为权限 - 即使该应用确实具有这些权限。

Eden告诉Threatpost，使用概念证明，他能够阅读他自己的DM，以及他创建的虚拟账户。

“这将是一次难以攻击的攻击，”Eden告诉Threatpost。 “攻击者必须说服您点击链接，登录，然后将PIN输入原始应用程序。 鉴于大多数应用程序都要求DM访问 - 并且大多数人都没有阅读警告屏幕 - 任何人都不可能误导它。“

Twitter本身表示，它不相信任何人因应用程序拥有的权限或应用程序无意中访问任何用户数据而误导：“据我们所知，由于此问题，没有任何人泄露任何信息，”社交媒体公司在HackerOne简报中表示 。 “目前人们不需要采取行动。”