Twitter-applicaties kregen zonder toestemming toegang tot privéberichten
Twitter-applicaties hebben in sommige gevallen toegang tot privéberichten van gebruikers, zonder dat zij hier toestemming voor hebben gegeven. Het probleem is ontdekt door een beveiligingsonderzoekers en inmiddels opgelost door Twitter.
Cesar Cerrudo, beveiligingosnderzoekers van IO-Active, meldt dat third party-applicaties die geïntegreerd worden met Twitter in sommige gevallen toegang hadden tot privéberichten van gebruikers. Dit terwijl de apps hier geen toestemming voor vragen en gebruikers tegelijkertijd verkeerd voorlichten. De app zouden tijdens de goedkeuring die gebruikers voor de installatie van de apps moeten geven claimen geen toegang te hebben tot privéberichten.
Niet standaard zichtbaar
De privéberichten zijn overigens niet standaard zichtbaar. Cerrudo meldt het probleem te hebben ontdekt tijdens het uittesten van een nieuwe applicatie. Twitter vroeg hem een app goed te keuren die toegang wilde tot zijn Twitter-account en gaf hierbij aan dat de app niet bij privéberichten kan komen. In eerste instantie leek dit ook te kloppen. Zodra Cerrudo zich echter opnieuw had aangemeld voor app bleken zijn privéberichten toch gewoon zichtbaar te zijn in de third party-applicatie.
Twitter is overigens snel in actie gekomen tegen het probleem. De onderzoek meldde het probleem direct bij het beveiligingsteam van Twitter, dat het probleem vervolgens binnen 24 uur oploste. Cerrudo stelt echter wel dat Twitter zijn gebruikers op de hoogte zou moeten brengen van het probleem.