Twitter API漏洞将用户消息暴露给错误的开发人员超过一年

Twitter在其开发者博客上周五透露，Twitter API中的一个漏洞无意中将一些用户的直接消息（DMs）和受保护的推文暴露给了未经授权的第三方应用程序开发者，而这些开发者本不应该获得这些推文。

发生了什么事？

Twitter在其账户活动API（AAAPI）中发现了一个漏洞，注册开发者使用该API构建工具来支持与客户的业务通信，该漏洞可能暴露了这些客户的交互。

Twitter AAAPI漏洞已经存在一年多了，2017年5月至9月10日，当微博平台发现问题并“在发现问题后的几个小时内”进行修补时

换句话说，这个漏洞在平台上活跃了将近16个月。

Twitter解释说：“如果你在Twitter上与依赖于使用AAAPI提供服务的开发人员的帐户或业务进行交互，则该漏洞可能会导致其中一些交互被无意中发送给其他注册开发人员”。

这是怎么发生的？

该漏洞存在于Twitter的AAAPI工作方式中。如果用户在Twitter上与使用AAAPI的帐户或业务进行交互，该漏洞会“无意地”将一个或多个DMs和受保护的推文发送给错误的开发人员，而不是授权的开发人员。

Twitter解释道：“根据我们最初的分析，一系列复杂的技术环境必须同时发生，才能让这个漏洞导致账户信息最终与错误的来源共享”。

“在某些情况下，这可能包括某些直接消息或受保护的推文，例如与授权AAAPI开发人员的航空公司的直接消息。同样，如果您的企业授权开发人员使用AAAPI访问您的帐户，则该漏洞可能会错误地影响您的活动数据”。

有多少Twitter用户受到影响？

尽管Twitter表示尚未发现任何证据表明错误的开发人员收到了DMs或受保护的推文，但该公司也“无法最终确认这没有发生”

因此，它正在通知可能受到影响的人，根据Twitter的数据，这些人不到1%。由于Twitter现在每月有超过3.36亿活跃用户，该漏洞可能会影响300多万人。

该公司表示：“可能收到意外信息的任何一方都是通过我们的开发者计划注册的开发者，我们在最近几个月大幅扩展了该计划，以防止数据被滥用和误用”。

需要注意的是，该漏洞只涉及用户的DMs以及与使用Twitter“为客户服务”和#8212；不是所有的DMs。

Twitter是如何处理这个问题的？

Twitter表示，该公司已经联系了收到这些意外数据的开发者，并正在“与他们合作，确保他们遵守义务，删除他们不应该拥有的信息”。

Twitter表示，对该漏洞的调查仍在“进行中”，并向用户保证，目前，该公司“没有理由相信发送给未经授权开发者的任何数据被滥用”

“我们对发生的事情感到非常抱歉，”Twitter说。“我们承认并感谢您对我们的信任，并致力于每天赢得这种信任”。

受影响的用户可以做什么？

没有什么是的，对于已经落入坏人手中的数据，你真的无能为力。

就像剑桥Analytica丑闻一样，Facebook以其隐私政策为由要求开发者删除数据，但我们都知道发生了什么，Twitter只能确保第三方开发者遵守删除您信息的义务，但无法确认。