Beveiliging privéberichten in Twitter is stuk - update

Twitter-applicaties kunnen toegang krijgen tot de privéberichten van een gebruiker, ook als die daarvoor geen toestemming heeft gegeven. Het laagste autorisatieniveau geeft officieel geen toegang tot privéberichten, maar in de praktijk wel.

Als een applicatie aan een gebruiker vraagt om read-only-toegang tot zijn of haar account, wordt expliciet aangegeven dat de app geen toegang tot de privéberichten van dit account krijgt. De Rotterdamse webdeveloper Simon Colijn ontdekte echter dat hij dan wel degelijk ook privéberichten kon benaderen en tipte Tweakers.net. "Ik was bezig met een nieuw project en ik onderzocht wat ik wel en niet kon met Twitter", zegt Colijn.

Colijn bouwde een applicatie om te bewijzen dat apps toegang krijgen tot informatie die niet benaderbaar zou moeten zijn. "Ik hoefde niets speciaals te doen om privéberichten te bekijken, ik gebruikte gewoon de standaard code", zegt Colijn. Het is onduidelijk hoe lang read-only-apps al privéberichten kunnen inzien.

Derden kunnen met hulp van Twitter-software applicaties voor de microbloggingdienst ontwikkelen. Twitter gebruikt daarbij het oauth-protocol om gebruikers te laten inloggen zonder dat de ontwikkelaar toegang tot wachtwoorden krijgt. Er zijn drie beveiligingsniveaus; het laagste niveau geeft applicaties officieel alleen read only-toegang tot een beperkte set gegevens. Privéberichten horen daar niet bij.

Update, 16:23: Zoals tweaker TvdW aangeeft is het probleem bij Twitter bekend. Hoewel gebruikers al een tijdje wordt verteld dat read only-applicaties geen toegang hebben tot privéberichten, wordt hier in de praktijk niet op gecontroleerd. Als alles volgens planning verloopt, gebeurt dat pas vanaf eind deze maand.

Update, zaterdag 11:40: Twitter heeft het probleem opgelost. Bij het autoriseren van read only-apps wordt aangegeven dat deze pas eind deze maand geen toegang meer hebben tot privéberichten.

Twitterberichten kunnen worden bekeken door read-only-apps

IT-banen

Reacties (31)

TvdW 10 juni 2011 16:17

Klopt! Dit is een beveiliging die pas eind juni wordt ingevoerd.

-edit-
https://groups.google.com...-api-announce/d5jX9ygXDF8

-edit2-
Bovenstaande post kort samengevat:
Twitter wou half mei een nieuw authenticatiemodel doorvoeren maar dat kan niet in 1x, daar moet tijd overheen gaan zodat alle applicaties klaar zijn. Op 30 juni wordt deze wijziging doorgevoerd en zullen applicaties specifiek moeten vragen om toestemming om DMs te lezen. Het nieuwe authorizatiescherm is helaas al eerder doorgevoerd en zorgt nu dus voor problemen.

-edit3-
Graag zou ik er nog even bij zetten dat als Twitter dit eerder door had gevoerd, applicaties als TweetDeck geen DMs meer zouden kunnen lezen. Om deze reden is de invoering vertraagd.

-edit4-
Twitter heeft inmiddels een tijdelijke update uitgebracht voor het autorisatiescherm. Er wordt nu duidelijk getoond dat de DMs gelezen kunnen worden tot 30 juni.

[Reactie gewijzigd door TvdW op 23 juli 2024 21:33]

Swaptor @TvdW • 10 juni 2011 22:15

De tekst is aangepast!

Was:
This application will be able to:

Read Tweets from your timeline.
See who you follow.
Access your direct messages.

Is:
This application will be able to:

Read Tweets from your timeline.
See who you follow.
Access your direct messages until June 30th, 2011.

http://twitpic.com/59owvu/full

kozue @TvdW • 11 juni 2011 13:59

Ik wil niet heel vervelend doen ofzo, maar dat het "expres" is gedaan, om andere problemen te voorkomen, maakt het natuurlijk niet minder erg. Als ik zou mogen kiezen tussen delen van het systeem niet meer bereikbaar, of al m'n privéberichten op straat, kies ik toch voor het eerste. Twitter koos er in dit geval dus voor dat de werking van hun site belangrijker is dan de privacy van hun gebruikers, wat ik een erg kwalijke zaak vind.

_serial_ 10 juni 2011 16:26

Jammer dat hij dit niet eerst meldt aan twitter zoals "gedragdregels" voor melden beveiligingslekken voorschrijven maar in plaats daarvan de publiciteit zoekt.

Verwijderd @_serial_ • 10 juni 2011 16:35

Hoe weet jij zo zeker dat hij dat al niet gedaan heeft? In het artikel word niet gezet dat hij het gedaan heeft, maar ook niet dat hij het niet gedaan heeft.
Het kan ook zijn dat hij ze hiervan wel geattendeerd had maar zijn zich hier niet om bekommerde.

_serial_ @Verwijderd • 10 juni 2011 16:48

Als hij het had gedaan, vind ik dat het minimaal in het artikel had moeten staan.

Verwijderd @_serial_ • 11 juni 2011 11:29

Je keert het nu om. Omdat Tweakers het niet in het artikel meldt zal hij het dus niet gedaan hebben.

Jij mag je wel eens gaan douchen. Er staat in je reactie namelijk niet dat je dat gedaan hebt.

TvdW @_serial_ • 10 juni 2011 16:54

Deze bug is bij de actieve Twitter ontwikkelaars, waaronder ikzelf, al enkele weken bekend. Wat ik (wij) echter niet wist is dat mensen dit zo belangrijk vinden. Zelfs (een deel van) het Twitter personeel is op de hoogte van deze fout en ik geloof dat het zelfs al eens genoemd is op de [twitter-dev] lijst, de mailinglijst voor Twitter ontwikkelaars.

Verwijderd @TvdW • 10 juni 2011 17:49

Wat ik (wij) echter niet wist is dat mensen dit zo belangrijk vinden.

Voorbereiding sollicitatiegesprek Facebook?

Ja, mensen vinden het belangrijk.

Als jij een twitter applicatie ontwikkelt waarin een optie staat om al je DMs met de hele wereld te delen, maar in je code gewoon net doet alsof die altijd aangevinkt staat, dan vindt je het toch hopelijk ook niet vreemd dat de gebruikers van jouw software dan vreemd opkijken als ze daarachter komen?

Of moet ik, gezien andere software, juist denken dat je daar wel vreemd van opkijkt?

BtM909 @_serial_ • 10 juni 2011 16:34

Je kan niet opmaken uit het artikel of de ontwikkelaar het wel of niet heeft gemeld bij Tweakers

RatedR 10 juni 2011 16:18

Hij lijkt toch een soort van error message terug te geven (screenshot 2), om vervolgens blijkbaar alsnog de berichten weer te geven...

Xudonax @RatedR • 10 juni 2011 16:20

Als je dat stuk tussen de blokhaken bedoeld, ik vermoed dat dit gewoon tekst van de app zelf is om aan te geven dat het zogenaamd privé is.

RatedR @Xudonax • 10 juni 2011 16:24

Ik gok dat er dan gewoon "[private]" had gestaan (net als daarboven "[open]" staat) en niet "[private? errrr]"..

edit: geh, zie nu dus dat dat idd wsl een "grapje" van de ontwikkelaar is.. Dacht bij "errr" meteen aan één-of-andere error message die niet helemaal lekker doorkomt

.. ik denk ook teveel in code..

[Reactie gewijzigd door RatedR op 23 juli 2024 21:33]

Xudonax @RatedR • 10 juni 2011 16:28

Ik vermoed dat er het bedoeld word op de manier van "private? errrrr... nee dus :)". Maar dat weet ik niet zeker. Echt duidelijk word dit pas als iemand zelf de code van de applicatie kan bekijken. Op dit punt is het voor mij gokwerk wat er bedoeld word...

k0ert @RatedR • 10 juni 2011 16:32

Ik denk dat hij dat zelf heeft geschreven, zijn titels voor de verschillende categorieën. De categorie zou eigenlijk private moeten zijn, maar dat is het niet, dus daarom [private? errrr]. Wel raar dat dat nog niet eerder is gebleken, of is dit een nieuwe functie?

DaSt1986

10 juni 2011 16:24

Ik vind het vooral gek dat hier nog niemand achter gekomen is. Er zijn toch meerdere applicaties voor Twitter ontwikkeld? Ooit zal iemand een 'fout' gemaakt hebben waarbij hij verkeerde rechten vroeg, maar toch de juiste gegevens, is dat nooit opgevallen? En er zijn toch wel meer mensen die gaan kijken wat ze precies met de Twitter API kunnen en dat ontdekt moeten hebben, lijkt mij?

mcdronkz @DaSt1986 • 10 juni 2011 17:49

Ik verbaas me nergens meer over. Heb in 2006 een lek op Marktplaats gevonden waarbij ik door een parameter aan de URL van een advertentie toe te voegen, kon zien met welk e-mailadres de advertentie geplaatst is. Dat lek bleek ook geruime tijd bestaan te hebben, en was veel eenvoudiger dan dit. Ik denk dat je gerust kunt spreken van incompetente ontwikkelaars met verkeerde prioriteiten. Het feit dat externe applicaties bepaalde functionaliteit verliezen is nooit een reden om in te boeten op de veiligheid van je software.

supersnathan94 10 juni 2011 16:30

heb het net geprobeerd en het werkt dus echt (niet). dit is echt niet normaal. Neem aan dat dit via een API gaat die deze restricties verkeerd neerzet.

BtM909 @supersnathan94 • 10 juni 2011 16:36

Update, 16:23: Zoals tweaker TvdW aangeeft is het probleem bij Twitter bekend. Hoewel gebruikers al een tijdje wordt verteld dat read only-applicaties geen toegang hebben tot privéberichten, wordt hier in de praktijk niet op gecontroleerd. Als alles volgens planning verloopt, gebeurt dat pas vanaf eind deze maand.

wsly075 10 juni 2011 16:21

Waar mensenhanden aan de grondslag liggen worden foutjes gemaakt. Ik vind wel dat twitter hier snel op moet reageren, door deze functionaliteit te laten werken zoals hij hoort en de gebruikers op de hoogte stellen van de bug.

Ik vind stuk wel een beetje rare benaming. Dat suggereert alsof iets het wel gedaan heeft. Het is gewoon niet eerder misbruikt (naar mijn weten).