O Twitter acabou de corrigir uma vulnerabilidade que pode ter compartilhado mensagens diretas (DMs) e tuítes protegidos de alguns usuários com desenvolvedores que não estavam autorizados a acessar as informações. Parece que o bug está relacionado à API de atividade da conta do Twitter que pode ter resultado no envio de dados para o desenvolvedor registrado errado, a declaração oficial disse.
A empresa já enviou um e-mail a todos os referidos desenvolvedores. A investigação confirmou que há “apenas um conjunto de circunstâncias técnicas em que esse problema poderia ter ocorrido.”
Mais sobre o bug da API de atividade da conta do Twitter
De acordo com a informação compartilhado na postagem do blog do Twitter, “se você interagiu com uma conta ou empresa no Twitter que dependia de um desenvolvedor usando a AAAPI para fornecer seus serviços, o bug pode ter causado o envio involuntário de algumas dessas interações para outro desenvolvedor registrado”.
Deve-se notar que este bug pode ter ocorrido quando um determinado conjunto de circunstâncias técnicas eram verdadeiras durante o período de tempo relevante para este problema.
A referida AAAPI foi afetada entre maio 2017 e setembro 10, 2018, quando o bug foi corrigido logo após ser descoberto. Menos que 1% do Twitter 335 milhões de usuários foram afetados pelo bug. Os usuários afetados estão sendo notificados sobre o incidente com a ajuda de um aviso no aplicativo no site oficial. A empresa também está trabalhando com seus desenvolvedores parceiros para garantir que eles cumpram com suas obrigações de excluir todas as informações necessárias que não deveriam estar em sua posse. Deve-se notar que o Twitter tem centenas desses desenvolvedores.
No início deste ano, em maio, O Twitter anunciou um bug crítico de segurança que foi identificado no serviço. Os usuários eram solicitados a alterar suas senhas. O problema residia na forma como as senhas de login da conta eram armazenadas no banco de dados interno. Mais especificamente, um problema com o sistema do Twitter permitia que as senhas fossem armazenadas sem serem "mascaradas" adequadamente. Mascaramento refere-se à forma como as informações confidenciais são armazenadas em um banco de dados interno.