Poverty isn't a lack of character; it's a lack of cash | Rutger Bregman
Χρήστες που έχουν συνδεθεί με τρίτους Οι εφαρμογές ιστού ή κινητής τηλεφωνίας που χρησιμοποιούν τους λογαριασμούς τους στο Twitter ενδέχεται να έχουν δώσει στις εφαρμογές αυτές πρόσβαση στα ιδιωτικά μηνύματά τους "άμεσου" Twitter χωρίς να το γνωρίζουν, σύμφωνα με τον Cesar Cerrudo, επικεφαλής της τεχνολογίας της εταιρείας συμβούλων ασφαλείας IOActive. ένα ελάττωμα στο API του Twitter (διεπαφή προγραμματισμού εφαρμογών) που οδήγησε τους χρήστες να μην είναι σωστά ενημερωμένοι σχετικά με τα δικαιώματα που θα έχει μια αίτηση στην αίτησή τους μετά την παροχή πρόσβασης. Ο Cerrudo περιγράφει το πρόβλημα και εξηγεί πώς το ανακάλυψε σε μια δημοσίευση στο blog που δημοσιεύθηκε την Τρίτη
Οι εφαρμογές που επιτρέπουν στους χρήστες να συνδεθούν με τους λογαριασμούς Twitter πρέπει να εγγραφούν στο Twitter στη διεύθυνση //dev.twitter.com/apps. Κατά την εγγραφή, οι προγραμματιστές τους πρέπει να δηλώσουν το επίπεδο πρόσβασης που θα έχουν οι εφαρμογές στους λογαριασμούς των ανθρώπων: "μόνο για ανάγνωση", "ανάγνωση και εγγραφή" ή "ανάγνωση, εγγραφή και πρόσβαση σε άμεσα μηνύματα". για την κατάργηση κακόβουλου λογισμικού από τον υπολογιστή σας Windows
Όταν οι χρήστες επιχειρούν να συνδεθούν σε μια τέτοια εφαρμογή για πρώτη φορά χρησιμοποιώντας τους λογαριασμούς τους στο Twitter, μεταβαίνουν σε μια σελίδα εξουσιοδότησης στην ιστοσελίδα του Twitter που αναγράφει τα δικαιώματα που ζητά η συγκεκριμένη εφαρμογή.
Ο Cerrudo δήλωσε ότι ανακάλυψε το ζήτημα ενώ δοκιμάζει μια εφαρμογή που αναπτύχθηκε από έναν φίλο που είχε δικαιώματα "ανάγνωσης, εγγραφής και πρόσβασης στα άμεσα μηνύματα" που δήλωσε με το Twitter.Όταν πρωτοκολλήθηκε στην εφαρμογή με το Twitter λογαριασμό του, μεταφέρθηκε σε μια σελίδα εξουσιοδότησης που τον ενημέρωσε ότι η εφαρμογή θα μπορούσε να διαβάσει τα tweets από το χρονοδιάγραμμά της, να δει ποιους χρήστες ακολουθεί, να παρακολουθήσει νέους χρήστες για λογαριασμό του, να ενημερώσει το προφίλ του inf αλλά και για το post tweets για λογαριασμό του, είπε. Η σελίδα δηλώνει σαφώς ότι η εφαρμογή δεν θα έχει πρόσβαση στα άμεσα μηνύματα ή στον κωδικό πρόσβασης του λογαριασμού.
"Μετά την προβολή της εμφανιζόμενης ιστοσελίδας, πίστευα ότι το Twitter δεν θα έδινε στην εφαρμογή πρόσβαση στον κωδικό μου και σε μηνύματα" έγραψε στο blog. "Ένιωσα ότι ο λογαριασμός μου ήταν ασφαλής, οπότε έχω συνδεθεί και έπαιζα με την εφαρμογή."
Ο ερευνητής παρατήρησε ότι η εφαρμογή είχε λειτουργικότητα για πρόσβαση και εμφάνιση άμεσων μηνυμάτων, αλλά η λειτουργία δεν φαίνεται να λειτουργεί. Αυτό είχε νόημα επειδή δεν του ζητήθηκε να χορηγήσει την άδεια.
Ωστόσο, μετά την είσοδο και έξοδο από την εφαρμογή και το Twitter μερικές φορές, τα άμεσα μηνύματά του άρχισαν να εμφανίζονται στην εφαρμογή. Κατά τον έλεγχο της λίστας των εφαρμογών που επιτρέπεται να αλληλεπιδρούν με το λογαριασμό του Twitter (Ρυθμίσεις> Εφαρμογές), παρατήρησε ότι η εφαρμογή είχε στην πραγματικότητα τα δικαιώματα ανάγνωσης, εγγραφής και πρόσβασης σε άμεσους μηνύματα.
«Συνειδητοποίησα ότι αυτό ήταν μια τεράστια ασφάλεια "Ο ερευνητής επιβεβαίωσε την Τρίτη ότι αναπαράγει με επιτυχία τη συμπεριφορά αρκετές φορές, ανακαλώντας την πρόσβαση στην εφαρμογή και περνώντας ξανά τη διαδικασία εξουσιοδότησης χωρίς να προειδοποιήσει ότι η εφαρμογή θα μπορεί να διαβάσει τα ιδιωτικά μηνύματά της. Το ζήτημα αναφέρθηκε στο Twitter στις 16 Ιανουαρίου και έγινε σε λιγότερο από 24 ώρες, δήλωσε.
«Είπαν ότι το ζήτημα συνέβη λόγω σύνθετου κώδικα και λανθασμένων υποθέσεων και επικυρώσεων», δήλωσε ο Cerrudo στο blog post.
Ωστόσο, η διόρθωση του Twitter δεν φαίνεται να ισχύει αναδρομικά. Μετά την επίλυση του προβλήματος από το Twitter, η εφαρμογή Cerrudo δοκιμάζοντας ότι είχε ήδη πρόσβαση στον λογαριασμό του συνέχισε να εμφανίζει άμεσα μηνύματα, παρόλο που ποτέ δεν του παραχωρήθηκε εξουσιοδότηση για να το πράξει, δήλωσε.
Οι χρήστες Twitter πρέπει να ελέγξουν αν κάποια από τις εφαρμογές που εξουσιοδότησαν στο παρελθόν είχαν επίσης πρόσβαση στα άμεσα μηνύματά τους χωρίς να το γνωρίζουν, δήλωσε ο Cerrudo. Αυτό μπορεί να γίνει με την αναθεώρηση των δικαιωμάτων τους στη σελίδα Ρυθμίσεις Twitter> Εφαρμογές.
Η Cerrudo αποφάσισε να δημοσιοποιήσει αυτό το ζήτημα επειδή μπορεί να έχει σοβαρές επιπτώσεις και επειδή το Twitter δεν εξέδωσε δημόσια συμβουλευτική ή ανακοίνωση γι 'αυτό. Η εταιρεία θα πρέπει να διατηρεί μια ειδική σελίδα όπου θα μπορεί να ενημερώνει τους χρήστες σχετικά με θέματα ασφαλείας
Το Twitter δεν απάντησε άμεσα σε ένα αίτημα για σχολιασμό
Ένας ερευνητής ασφάλειας που διέρχεται από το χειριστήριο Twitter του @ 0xal ανέφερε αργά Την Κυριακή ότι η πρόσβαση στο Gmail και το Google είχε περιοριστεί »και αργότερα δήλωσε ότι μπορούσε να έχει πρόσβαση μόνο στις υπηρεσίες χρησιμοποιώντας ένα VPN ή έναν πληρεξούσιο.
Ωστόσο, αργότερα ανέφερε ότι εξακολουθεί να είναι δυνατή η πρόσβαση στην Google μέσω ορισμένων διευθύνσεων IP από το όνομα του κεντρικού υπολογιστή
Τα ιδιωτικά μηνύματα του Facebook ενεργοποιούν 'likes' χωρίς να λένε
Μια νέα λειτουργία Facebook ανυψώνει συνδέσμους από τα ιδιωτικά μηνύματά σου και προσθέτει ανώνυμα "
Το FTD World, στο ftdworld.net, είναι ένας ιστότοπος ευρετηρίου Usenet που απαριθμεί συνδέσμους προς δυαδικά αρχεία που δημοσιεύθηκαν στο Usenet. Παρέχει επίσης αρχεία με τη μορφή NZB που επιτρέπει στους χρήστες να κατεβάζουν πιο εύκολα τα αναρτημένα αρχεία. Με αυτόν τον τρόπο, ο ιστότοπος παρέχει πρόσβαση σε αρχεία ψυχαγωγίας που περιέχουν πνευματικά δικαιώματα, συμπεριλαμβανομένων βιβλίων, ταινιών, μουσικής, παιχνιδιών και λογισμικού, χωρίς την άδεια των κατόχων πνευματικών δικαιωμάτων, σύμφων
Η Brein ήθελε το δικαστήριο να αναγκάσει την ING Bank να αποκαλύψει ποιος είναι πίσω από έναν αριθμό τραπεζικού λογαριασμού που δημοσιεύτηκε στο site που χρησιμοποιείται για τη λήψη δωρεών, σύμφωνα με την ετυμηγορία που δημοσίευσε το δικαστήριο την Πέμπτη. Δεν ήταν προηγουμένως σε θέση να εντοπίσει τον καταχωρίζοντα ονόματος τομέα και δεν είχε λάβει απάντηση σε επιστολή που απέστειλε στον ρώσο πάροχο φιλοξενίας.