Api-fout Twitter zorgde mogelijk dat bericht bij verkeerde ontvanger belandde

Twitter heeft melding gemaakt van een fout in zijn api, waardoor er mogelijk Direct Messages van gebruikers bij de verkeerde ontvanger zijn beland. Twitter weet niet of er daadwerkelijk berichten fout zijn bezorgd, en er zou slechts een klein deel van de gebruikers getroffen zijn.

Het gaat om de zogenaamde Account Activity-api, die door ontwikkelaars gebruikt kan worden om activiteiten rondom een gebruikersaccount te meten. Eerder deze maand ontdekte Twitter dat er een fout zit in de api waardoor berichten van gebruikers die naar een organisatie worden gestuurd die van deze api gebruik maakt, mogelijk naar een andere organisatie zijn gestuurd. Het kan daarbij bijvoorbeeld gaan om een account van een bedrijf.

Inmiddels heeft Twitter de bug gerepareerd, waarna het bedrijf achter de sociale-netwerksite op zijn hulppagina's uitleg gaf over de problemen. Het blijkt dat de fout in de api al vanaf mei vorig jaar in de software zat. Na de vondst bleek Twitter echter wel binnen enkele uren in staat om de fout eruit te halen.

Overigens weet Twitter niet zeker of er daadwerkelijk Direct Messages van gebruikers bij de verkeerde ontwikkelaar zijn beland, maar het bedrijf kan het niet uitsluiten. Het bedrijf spreekt van een aantal specifieke omstandigheden waarin de bug kan optreden, waardoor de kans op foute bezorging klein zou zijn. Het onderzoek naar de bug is nog gaande, waardoor mogelijk later uitsluitsel volgt over hoeveel berichten er verkeerd zijn afgeleverd.

Ongeveer een procent van de Twitter-gebruikers zou met de bug te maken hebben gekregen; dat zijn ongeveer 3 miljoen mensen. Die hebben een notificatie gekregen dat hun account mogelijk slachtoffer is geworden van foute bezorging van een Twitter-bericht.

Door RoD

Forum Admin Mobile & FP PowerMod

22-09-2018 • 08:58

22

Submitter: pctje

Reacties (22)

Sorteer op:

Weergave:

Grappig, vraag me af hoe zoiets is gebeurd. Een wildcard query ergens die net wat verkeerds matchte? Zou wel leuk zijn als bedrijven eens wat meer technische informatie zouden geven over dat soort problemen, voor geïnteresseerden. Maar dat willen ze waarschijnlijk niet omdat de fouten meestal zo amateuristisch lijken.
Als je op de link klikt (en dan door klikt naar details), zie je wat er mis ging: key probleempje in de cache.

[Reactie gewijzigd door Troepje op 3 augustus 2024 14:11]

Vraag me af waarom ze uberhaupt geen end-to-end interne encryptie gebruiken op hun servers? Dan zou de servers direct alarm kunnen slaan omdat het bericht niet decryptable is, zou toch een mooie safeguard zijn. Voor DM's iig.
Schijnt hier een caching foutje te zijn geweest... Je encryptie had dus weinig opgelost als de key daarvoor gewoon verkeerd in het geheugen was gebleven (of de ID waarmee de key wordt opgehaald)...
Dit zegt dus niks over of er wel of niet end-to-end encryptie gebruikt wordt en met een partij zo groot als Twitter zou ik er vanuit gaan dat het wel zo is (maar niet op vertrouwen overigens...)
Ja, dat is het probleem als de encryptie intern wordt toegepast(en DM's nog steeds op dezelfde servers wordt vertoond), dan krijg je soms dat er ook na decryptie iets misgaat met bijv. de cache ja inderdaad.

[Reactie gewijzigd door MrFax op 3 augustus 2024 14:11]

Ik kreeg gisteravond ook de notificatie, leuk is anders. Dit vond ik niet zo geweldig, omdat ik DMs heb gehad waarvan ik niet wil dat een derde partij ze leest. Ik had nooit mijn account op privé maar mijn DMs waren iets waarvan ik had verwacht dat die veilig waren tegen zulks geshit, blijkbaar niet dus :/
Laat het een les zijn voor iedereen die meeleest: prive zaken alleen bespreken in een app die daarvoor bedoeld en geschikt is. Met andere woorden een app die end-to-end encryptie toepast. Denk aan Signal, WhatsApp, Threema, iMessage, etc. In elk geval geen DM's op Twitter, Instagram, Facebook (Messenger), etc.
Het was niet zozeer echt privé privé, meer een snel gesprek. Maar natuurlijk heb ik liever niet dat snelle gespreklen ook uitlekken
Het is een Direct Message, geen Private Message.

Maar je zou beter mogen verwachten inderdaad.
Ik wist ook wel dat ze niet privé waren. Ik gebruikte ze ook nauwelijks TBH. Maar ja, de keren dat ik ze gebruikte, deed ik het voor een paar doeleinden (niet zozeer privé).
'Api-fout Twitter zorgde mogelijk dat tweet bij verkeerde ontvanger belandde'
Uit het bericht begrijp ik dat het niet om tweets maar om direct messages gaat?
Ja precies dit ja. Ik ga het ook even melden.
Tweets (als je account was afgeschermd) en DMs
Ah ok. Verkeerd begrepen
Ja, dit kreeg ik gisteren in eens in mijn twitter app.
Leuk is anders :(
Wat doe ik nu met al die bedrijfsgeheimen? :9
Domme opmerking. En wie garandeert er dat jouw gegevens die je bij het maken van het Tweakersaccount niet een keer ten onrechte ergens terecht komen? Zeg je dan ook, moet je maar niet op Tweakers zitten?
Wat heeft dat hier mee te maken? Appels peren?
Verder zet ik ook niets privé op Tweakers wat niet openbaar zou mogen komen.

Privacy breuk?
Nee, dat kan in mijn geval niet.
Gewoon niet op Twitter, Facebook, Snapchatten etc. gaan zitten.
Daar doe ik al vanaf het begin niet aan mee en heb geen medelijden met mij.
Ik leef nog steeds en heb ook een heel sociaal leven hoor.
Dat vind ik zo een onzin opmerking.

Ala je niet het risico wilt lopen dat je persoonlijke berichten van tweakers met derden geshared worden door een bug in hun software, moet je misschien ook maar geen tweakers accountje hebben.

rolleyes.
waarom, zijn beidden websites, beidden online accounts en bij beidden kan je een account hebben zonder iets privé op te posten / delen wat niet openbaar zou mogen komen.

Op dit item kan niet meer gereageerd worden.