Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Maatschappij » Privacy & beveiliging » Beveiliging privéberichten in Twitter is stuk - update

Beveiliging privéberichten in Twitter is stuk - update

Door Joost Schellevis, vrijdag 10 juni 2011 16:15, views: 26.917

Twitter-applicaties kunnen toegang krijgen tot de privéberichten van een gebruiker, ook als die daarvoor geen toestemming heeft gegeven. Het laagste autorisatieniveau geeft officieel geen toegang tot privéberichten, maar in de praktijk wel.

Als een applicatie aan een gebruiker vraagt om read-only-toegang tot zijn of haar account, wordt  expliciet aangegeven dat de app geen toegang tot de privéberichten van dit account krijgt. De Rotterdamse webdeveloper Simon Colijn ontdekte echter dat hij dan wel degelijk ook privéberichten kon benaderen en tipte Tweakers.net. "Ik was bezig met een nieuw project en ik onderzocht wat ik wel en niet kon met Twitter", zegt Colijn.

Colijn bouwde een applicatie om te bewijzen dat apps toegang krijgen tot informatie die niet benaderbaar zou moeten zijn. "Ik hoefde niets speciaals te doen om privéberichten te bekijken, ik gebruikte gewoon de standaard code", zegt Colijn. Het is onduidelijk hoe lang read-only-apps al privéberichten kunnen inzien.

Derden kunnen met hulp van Twitter-software applicaties voor de microbloggingdienst ontwikkelen. Twitter gebruikt daarbij het oauth-protocol om gebruikers te laten inloggen zonder dat de ontwikkelaar toegang tot wachtwoorden krijgt. Er zijn drie beveiligingsniveaus; het laagste niveau geeft applicaties officieel alleen read only-toegang tot een beperkte set gegevens. Privéberichten horen daar niet bij.

Update, 16:23: Zoals tweaker TvdW aangeeft is het probleem bij Twitter bekend. Hoewel gebruikers al een tijdje wordt verteld dat read only-applicaties geen toegang hebben tot privéberichten, wordt hier in de praktijk niet op gecontroleerd. Als alles volgens planning verloopt, gebeurt dat pas vanaf eind deze maand.

Update, zaterdag 11:40: Twitter heeft het probleem opgelost. Bij het autoriseren van read only-apps wordt aangegeven dat deze pas eind deze maand geen toegang meer hebben tot privéberichten.

Twitterberichten kunnen worden bekeken door read-only-apps Twitterberichten kunnen worden bekeken door read-only-apps

Volgende 16:33 'Samsung kampt met touchscreentekort bij 8,9"-versie Galaxy Tab'
Vorige 15:16 Vereniging hostingproviders komt met keurmerk
Advertentie

Lees meer over

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 31 reacties zichtbaar310 Off-topic / Irrelevant: 30 reacties zichtbaar30+1 On-topic: 26 reacties zichtbaar26+2 Informatief: 3 reacties zichtbaar3+3 Spotlight: 2 reacties zichtbaar2
«  1  2  »

Door TvdW, vrijdag 10 juni 2011 16:17

Score: 3
Klopt! Dit is een beveiliging die pas eind juni wordt ingevoerd.

-edit-
https://groups.google.com...-api-announce/d5jX9ygXDF8

-edit2-
Bovenstaande post kort samengevat:
Twitter wou half mei een nieuw authenticatiemodel doorvoeren maar dat kan niet in 1x, daar moet tijd overheen gaan zodat alle applicaties klaar zijn. Op 30 juni wordt deze wijziging doorgevoerd en zullen applicaties specifiek moeten vragen om toestemming om DMs te lezen. Het nieuwe authorizatiescherm is helaas al eerder doorgevoerd en zorgt nu dus voor problemen.

-edit3-
Graag zou ik er nog even bij zetten dat als Twitter dit eerder door had gevoerd, applicaties als TweetDeck geen DMs meer zouden kunnen lezen. Om deze reden is de invoering vertraagd.

-edit4-
Twitter heeft inmiddels een tijdelijke update uitgebracht voor het autorisatiescherm. Er wordt nu duidelijk getoond dat de DMs gelezen kunnen worden tot 30 juni.

[Reactie gewijzigd door TvdW op vrijdag 10 juni 2011 22:10]

Door Swaptor, vrijdag 10 juni 2011 22:15

Score: 3
De tekst is aangepast!

Was:
This application will be able to:

Read Tweets from your timeline.
See who you follow.
Access your direct messages.

Is:
This application will be able to:

Read Tweets from your timeline.
See who you follow.
Access your direct messages until June 30th, 2011.


http://twitpic.com/59owvu/full

Door kozue, zaterdag 11 juni 2011 13:59

Score: 2
Ik wil niet heel vervelend doen ofzo, maar dat het "expres" is gedaan, om andere problemen te voorkomen, maakt het natuurlijk niet minder erg. Als ik zou mogen kiezen tussen delen van het systeem niet meer bereikbaar, of al m'n privéberichten op straat, kies ik toch voor het eerste. Twitter koos er in dit geval dus voor dat de werking van hun site belangrijker is dan de privacy van hun gebruikers, wat ik een erg kwalijke zaak vind.

Door RatedR, vrijdag 10 juni 2011 16:18

Score: 1
Hij lijkt toch een soort van error message terug te geven (screenshot 2), om vervolgens blijkbaar alsnog de berichten weer te geven... ;(

Door Xudonax, vrijdag 10 juni 2011 16:20

Score: 1
Als je dat stuk tussen de blokhaken bedoeld, ik vermoed dat dit gewoon tekst van de app zelf is om aan te geven dat het zogenaamd privé is.

Door RatedR, vrijdag 10 juni 2011 16:24

Score: 1
Ik gok dat er dan gewoon "[private]" had gestaan (net als daarboven "[open]" staat) en niet "[private? errrr]"..

edit: geh, zie nu dus dat dat idd wsl een "grapje" van de ontwikkelaar is.. Dacht bij "errr" meteen aan één-of-andere error message die niet helemaal lekker doorkomt ;).. ik denk ook teveel in code.. :P

[Reactie gewijzigd door RatedR op vrijdag 10 juni 2011 16:27]

Door Xudonax, vrijdag 10 juni 2011 16:28

Score: 1
Ik vermoed dat er het bedoeld word op de manier van "private? errrrr... nee dus :)". Maar dat weet ik niet zeker. Echt duidelijk word dit pas als iemand zelf de code van de applicatie kan bekijken. Op dit punt is het voor mij gokwerk wat er bedoeld word...

Door k0ert, vrijdag 10 juni 2011 16:32

Score: 1
Ik denk dat hij dat zelf heeft geschreven, zijn titels voor de verschillende categorieën. De categorie zou eigenlijk private moeten zijn, maar dat is het niet, dus daarom [private? errrr]. Wel raar dat dat nog niet eerder is gebleken, of is dit een nieuwe functie?

Door wsly075, vrijdag 10 juni 2011 16:21

Score: 1
Waar mensenhanden aan de grondslag liggen worden foutjes gemaakt. Ik vind wel dat twitter hier snel op moet reageren, door deze functionaliteit te laten werken zoals hij hoort en de gebruikers op de hoogte stellen van de bug.

Ik vind stuk wel een beetje rare benaming. Dat suggereert alsof iets het wel gedaan heeft. Het is gewoon niet eerder misbruikt (naar mijn weten).

Door DaSt1986, vrijdag 10 juni 2011 16:24

Score: 1
Ik vind het vooral gek dat hier nog niemand achter gekomen is. Er zijn toch meerdere applicaties voor Twitter ontwikkeld? Ooit zal iemand een 'fout' gemaakt hebben waarbij hij verkeerde rechten vroeg, maar toch de juiste gegevens, is dat nooit opgevallen? En er zijn toch wel meer mensen die gaan kijken wat ze precies met de Twitter API kunnen en dat ontdekt moeten hebben, lijkt mij?

Door mcdronkz, vrijdag 10 juni 2011 17:49

Score: 1
Ik verbaas me nergens meer over. Heb in 2006 een lek op Marktplaats gevonden waarbij ik door een parameter aan de URL van een advertentie toe te voegen, kon zien met welk e-mailadres de advertentie geplaatst is. Dat lek bleek ook geruime tijd bestaan te hebben, en was veel eenvoudiger dan dit. Ik denk dat je gerust kunt spreken van incompetente ontwikkelaars met verkeerde prioriteiten. Het feit dat externe applicaties bepaalde functionaliteit verliezen is nooit een reden om in te boeten op de veiligheid van je software.

Door _serial_, vrijdag 10 juni 2011 16:26

Score: 1
Jammer dat hij dit niet eerst meldt aan twitter zoals "gedragdregels" voor melden beveiligingslekken voorschrijven maar in plaats daarvan de publiciteit zoekt.

Door BtM909, vrijdag 10 juni 2011 16:34

Score: 1
Je kan niet opmaken uit het artikel of de ontwikkelaar het wel of niet heeft gemeld bij Tweakers :)

Door Mystichawk, vrijdag 10 juni 2011 16:35

Score: 1
Hoe weet jij zo zeker dat hij dat al niet gedaan heeft? In het artikel word niet gezet dat hij het gedaan heeft, maar ook niet dat hij het niet gedaan heeft.
Het kan ook zijn dat hij ze hiervan wel geattendeerd had maar zijn zich hier niet om bekommerde.

Door _serial_, vrijdag 10 juni 2011 16:48

Score: 1
Als hij het had gedaan, vind ik dat het minimaal in het artikel had moeten staan.

Door Amorax, zaterdag 11 juni 2011 11:29

Score: 0
Je keert het nu om. Omdat Tweakers het niet in het artikel meldt zal hij het dus niet gedaan hebben.

Jij mag je wel eens gaan douchen. Er staat in je reactie namelijk niet dat je dat gedaan hebt. :+

Door TvdW, vrijdag 10 juni 2011 16:54

Score: 1
Deze bug is bij de actieve Twitter ontwikkelaars, waaronder ikzelf, al enkele weken bekend. Wat ik (wij) echter niet wist is dat mensen dit zo belangrijk vinden. Zelfs (een deel van) het Twitter personeel is op de hoogte van deze fout en ik geloof dat het zelfs al eens genoemd is op de [twitter-dev] lijst, de mailinglijst voor Twitter ontwikkelaars.

Door Kamiquasi, vrijdag 10 juni 2011 17:49

Score: 1
Wat ik (wij) echter niet wist is dat mensen dit zo belangrijk vinden.
Voorbereiding sollicitatiegesprek Facebook?

Ja, mensen vinden het belangrijk.

Als jij een twitter applicatie ontwikkelt waarin een optie staat om al je DMs met de hele wereld te delen, maar in je code gewoon net doet alsof die altijd aangevinkt staat, dan vindt je het toch hopelijk ook niet vreemd dat de gebruikers van jouw software dan vreemd opkijken als ze daarachter komen?

Of moet ik, gezien andere software, juist denken dat je daar wel vreemd van opkijkt?

Door Little Charlie, vrijdag 10 juni 2011 16:29

Score: 1
hmm, geeft Wiener z'n verklaring over de foto's toch 'n andere dekking.....

http://nos.nl/op3/artikel...er-weeners-duiken-op.html

Door supersnathan94, vrijdag 10 juni 2011 16:30

Score: 1
heb het net geprobeerd en het werkt dus echt (niet). dit is echt niet normaal. Neem aan dat dit via een API gaat die deze restricties verkeerd neerzet.

Door BtM909, vrijdag 10 juni 2011 16:36

Score: 1
Update, 16:23: Zoals tweaker TvdW aangeeft is het probleem bij Twitter bekend. Hoewel gebruikers al een tijdje wordt verteld dat read only-applicaties geen toegang hebben tot privéberichten, wordt hier in de praktijk niet op gecontroleerd. Als alles volgens planning verloopt, gebeurt dat pas vanaf eind deze maand.
;)

Door Vorlon_Kosh, vrijdag 10 juni 2011 17:16

Score: 0
Ik kom helemaal niet meer op twitter: Via de browser (Firefox 3.6.17) kan ik wel inloggen maar krijg ik daarna een lege pagine, en Fring op m'n telefoon zegt dat de Twitter webservice currently unavailable is.

[Reactie gewijzigd door Vorlon_Kosh op vrijdag 10 juni 2011 17:34]

Door ADQ, vrijdag 10 juni 2011 18:23

Score: 1
Upgraden? Versie 4 is al een tijdje uit. Pale Moon 4.07 geeft gewoon Twitter.

Als ik zo de bovenstaande reacties lees maak ik er uit op dat dit lek al lang bekend is. Waarom moet het nog 3 weken duren voordat het gepatchd is? Vooral omdat bijna niemand kijkt naar wat een update van een programma behelst maar het gewoon installeerd, vooral als het OTA binnenkomt. Niet dat een minder wellievend programmeur het in zijn changelist zal zetten, maar...

Ik gebruik geen Twitter, maar zou met de wat minder betrouwbare apps toch oppasen.

Door Vorlon_Kosh, vrijdag 10 juni 2011 21:23

Score: 1
De GUI van 4.0 bevalt me niet zo, en Fring is tegenwoordig niet meer gewoon los te downloaden maar alleen nog via de Ovi store te halen en ik heb geen zin om me daar in te schrijven.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 16:33 'Samsung kampt met touchscreentekort bij 8,9"-versie Galaxy Tab'
Vorige 15:16 Vereniging hostingproviders komt met keurmerk
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011