Priča o Twitter bagu: koliko su naši podaci sigurni

Društvene mreže, 23.01.2013, 07:50 AM

Priča o Twitter bagu: koliko su naši podaci sigurni

Mnogi web sajtovi i aplikacije nude korisnicima opciju prijavljivanja preko Facebook ili Twitter naloga koju mnogi rado koriste jer se na taj način zaobilazi dosadan proces registracije. Ovakva mogućnost jeste pogodnost sve dok se ne ispostavi da na ovakav način rizikujete bezbednost vaših podataka. Upravo to je otkrio istraživač Cazar Cerudo iz IOActive.

On je upozorio korisnike na propust u načinu na koji Twitter postupa sa dozvolama i obaveštenjima koji omogućava aplikacijma da dobiju pristup privatnim porukama (DM, direct messages) bez prethodnog obaveštenja ili dozvole korisnika.

Twitter, kao i mnogi drugi slični servisi, dopušta korisnicima da aplikacijama daju dozvolu za pristup podacima Twitter naloga. U zavisnosti od dozvola koje aplikacije traže ali i od toga koji nivo pristupa podacima je korisnik odobrio svakoj pojedinačnoj aplikaciji, aplikacije mogu čitati i pisati po vašem timeline-u, imati uvid u to koga pratite, ažurirati vaš profil, a neke od njih raspolažu i mogućnosšću pristupa vašim direktnim porukama, koje bi trebalo da budu privatne.

Cerudo je otkrio da neke aplikacije imaju pristup DM-ovima, bez obzira na to da li im je korisnik to odobrio.

Testirajući jednu web aplikaciju Cerudo je primetio nešto zanimljivo. Aplikacija koja omogućava prijavljivanje sa Twitter akreditivima, može da čita tvitove korisnika, objavljuje tvitove sa njegovog naloga, ima uvid u to koga korisnik prati i ažurira njegov profil.

Aplikacija nije zahtevala pristup privatnim porukama. Međutim, tokom korišćenja aplikacije, Cerudo je primetio da se nivo dozvola koje je tražila aplikacija prmenio nakon što se on nekoliko puta prijavio i odjavio sa Twitter-a i aplikacije. Naime, kada se ponovo prijavio za korišćenje aplikacije preko Twitter naloga, u trenutku kada uopšte nije bio prijavljen na Twitter nalog, aplikacija je prikazala sve njegove privatne poruke sa Twitter-a. I tu nije bio kraj iznenađenjima. Na stranici https://twitter.com/settings/applications Ceruda je čekalo još jedno iznenađenje. Osim čitanja i pisanja, aplikacija je imala i dozvolu za pristup direktnim porukama koju Cerudo nije dao niti je aplikacija takvu dozvolu tražila.

Cerudo je prijavio problem Twitter-u, a kompanija je brzo reagovala i ispravila propust. Twitter je preporučio korisnicima koji su zabrinuti zbog dozvola koje imaju aplikacije da provere kojim aplikacijama su dozvolili pristup nalogu što mogu učiniti na stranici https://twitter.com/settings/applications.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Otkriven bag u Facebook Chat dodatku za WordPress sajtove

Otkriven bag u Facebook Chat dodatku za WordPress sajtove

U zvaničnom Facebookovom dodatku za čet za WordPress sajtove, koji ima više od 80000 instalacija, otkriven je bag koji bi mogao omogućiti napada... Dalje

Twitter najavio da bi mogao biti kažnjen sa 250 miliona dolara zbog zloupotrebe podataka korisnika

Twitter najavio da bi mogao biti kažnjen sa 250 miliona dolara zbog zloupotrebe podataka korisnika

Twitter je najavio da će ga Federalna komisija za trgovinu (FTC) možda uskoro kazniti novčanam kaznom u iznosu do 250 miliona dolara zbog neadekva... Dalje

Twitter objasnio kako je izveden napad na naloge poznatih ličnosti i kompanija

Twitter objasnio kako je izveden napad na naloge poznatih ličnosti i kompanija

U nizu tvitova objavljenih noćas, Twitter je podelio svoja saznanja o dosad neviđenom napadu koji se dogodio 15. jula a koji je omogućio hakerima ... Dalje

Reč stručnjaka: Zašto bi trebalo da prestanete da koristite Facebook Messenger

Reč stručnjaka: Zašto bi trebalo da prestanete da koristite Facebook Messenger

Facebook je prošle nedelje ponosno predstavio novu bezbednosnu funkciju za Messenger koja omogućava korisnicima da otključavaju svoje poruke skeni... Dalje

Kinez špijunirao američku vladu i vojsku pomoću društvene mreže

Kinez špijunirao američku vladu i vojsku pomoću društvene mreže

Čovek koji je priznao da je agent kineske vlade koristio je LinkedInov algoritam da bi pronašao nove kontakte u američkoj vladi i vojsci. On je u s... Dalje