Twitter พบบั๊กใน Account Activity API ที่อาจทำให้ DM ของผู้ใช้บางคนหลุดได้

2018-09-22

Twitter ประกาศว่าทางบริษัทพบบั๊กในระบบซึ่งมีผลทำให้นักพัฒนาแอพอื่น ๆ สามารถเข้าถึงข้อความที่ส่งในระบบ DM ของผู้ใช้บางคนได้โดยไม่ได้รับอนุญาต โดยบั๊กนี้เริ่มมีผลตั้งแต่เดือนพฤษภาคมปีที่แล้ว แต่ค้นพบและแก้ไขเมื่อวันที่ 10 กันยายนที่ผ่านมา ซึ่งมีผลกระทบกับผู้ใช้น้อยกว่า 1%

ช่องโหว่ล่าสุดที่ Twitter พบนี้ เป็นช่องโหว่ใน Account Activity API หรือ AAAPI ที่เปิดให้นักพัฒนาที่ลงทะเบียนกับ Twitter สร้างเครื่องมือสำหรับภาคธุรกิจติดต่อสื่อสารกับลูกค้าบน Twitter ซึ่งหากผู้ใช้มีปฏิสัมพันธ์กับบัญชีหรือธุรกิจบน Twitter ที่นักพัฒนาใช้ AAAPI ให้บริการนั้น ๆ ก็เป็นไปได้ว่าระบบจะส่งข้อมูล DM ไปให้นักพัฒนาที่ลงทะเบียนแล้วคนอื่นโดยไม่ได้ตั้งใจ และในฝั่งธุรกิจที่นักพัฒนาใช้ AAAPI กับบัญชีขององค์กรนั้น ๆ ก็เป็นไปได้อาจส่งผลให้เกิดข้อผิดพลาดใน activity data ได้

ทั้งนี้ Twitter ระบุไม่พบหลักฐานว่าข้อความ DM ถูกส่งไปหานักพัฒนาที่ไม่ได้รับอนุญาตจริง ๆ แต่ก็ไม่สามารถระบุได้อย่างชัดเจนว่าเหตุการณ์นี้ยังไม่เกิดขึ้น โดยตอนนี้ Twitter ได้ติดต่อผู้ใช้ที่ได้รับผลกระทบแล้ว รวมถึงติดต่อกับนักพัฒนาเพื่อให้มั่นใจว่าใครก็ตามที่ได้รับข้อมูลโดยไม่ได้รับอนุญาตจะลบข้อมูลทิ้ง

ที่มา – Twitter, The Verge

No Description

Topics: