Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 9, views: 9.453 •
Submitter: volkano

In bepaalde gevallen hadden Twitter-applicaties toegang tot privéberichten van gebruikers, zonder dat die daarvoor toestemming hadden gegeven. Dat beweert een beveiligingsonderzoeker. Intussen zou Twitter het beveiligingsprobleem hebben opgelost.

Beveiligingsonderzoeker Cesar Cerrudo van IO-Active ontdekte dat applicaties van derden die Twitter-integratie aanboden, toegang konden krijgen tot privéberichten zonder dat een gebruiker daarvoor toestemming had gegeven. Bij het autorisatievenster dat gebruikers te zien krijgen als een applicatie toestemming probeert te krijgen, werd zelfs expliciet aangegeven dat de applicatie daar niet bij kon.

Het probleem trad alleen in bepaalde gevallen op. Allereerst moest een gebruiker een applicatie eerder al toegang tot zijn Twitter-account hebben gegeven. Daarna moest een gebruiker via die applicatie inloggen op Twitter, zonder dat hij of zij een actieve Twitter-sessie had. In dat geval kreeg de applicatie automatisch en onbedoeld toegang tot privéberichten, beweert Cerrudo.

De onderzoeker ontdekte het beveiligingsprobleem toen hij een eigen Twitter-applicatie aan het ontwikkelen was. Nadat hij het probleem ontdekte, schakelde hij het securityteam van Twitter in, dat het beveiligingsprobleem tot tevredenheid van Cerrudo binnen 24 uur oploste. De beveiligingsexpert klaagt echter over het feit dat Twitter gebruikers niet op de hoogte heeft gesteld van het potentiële privacyprobleem. Hij raadt gebruikers aan te controleren of applicaties onbedoeld toegang tot privéberichten hebben gekregen.

Cesar Cerrudo Twitter

Reacties (9)

Nadat hij het probleem ontdekte, schakelde hij het securityteam van Twitter in, dat het beveiligingsprobleem tot tevredenheid van Cerrudo binnen 24 uur oploste.

vreemd, je zou in deze tijden toch verwachten dat hij zou worden gebanned en aangeklaagd! :P (hm, dit was grappig bedoeld, maar eigenlijk is het best triest vanwege het waarheidsgehalte. hulde voor twitter: zo kan het ook :))
Dat was al in september 2012 bekend,

Hoeveel apps en tools hebben toegang tot jouw Twitteraccount?
On September - 9 - 2012 9:57
Wow, ik heb zojuist eens gekeken hoeveel tools, apps en andere zaken ik toegang gegeven heb tot mijn Twitteraccount via OAuth! Dat was even schrikken en daarom vraag ik me af of jullie daar regelmatig naar kijken. Ik eigenlijk alleen naar de bovenste 10-20 en verder kom ik zelden. Die bovenste houd ik enigszins bij omdat ik voor de rubriek applicaties hier regelmatig apps test, probeer en bespreek. De meeste daarvan gebruiken OAuth om, om een of andere reden, toegang tot mijn account te krijgen. Maar ik ben ze dus gaan tellen… En ik vrees dat 407 toch wel een beetje teveel van het goede is. Tijd voor een schoonmaak!

bron twittermania

[Reactie gewijzigd door d1zzje op 23 januari 2013 11:34]

zo erg privé zijn die privéberichten nou ook weer niet, ze worden geïndexeerd door alle zoekmachines 8)7
Dat denk ik niet hoor. Privéberichten worden niet geïndexeerd.
ReW, waar baseer je deze nonsens op?
Ik lees nu sowieso iets nieuws: privéberichten.
Hoe maak je die, en waar komen ze terecht als je ze ontvangt :?
Rechtsboven op dat tandwiel klikken, daar staan je direct messages.
En het versturen van een dergelijk bericht naar iemand gaat volgens mij via de pagina van de desbetreffende persoon.
'Vroeger' in het begin kreeg je nog weleens de tweets van mensen die hun account dicht hadden staan in de zoekresultaten uit de api. Mooi met een vinkje of het wel of niet gelocked was. Maar das ook al weer lang geleden. Nooit iemand over horen klagen ;-)
Wat alidogan zei maar je moet elkaar wel "Followen" (of hoe je het ook noemt).

Dat wist ik nog toevallig toen ik informatie moest sturen naar Samsung NL :P

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneAsus

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013