Lỗi API khiến Twitter để lộ tin nhắn người dùng trong gần 16 tháng

Lỗi giao diện chương trình ứng dụng vô tình khiến mạng xã hội Twitter để lộ tin nhắn người dùng cho bên thứ ba suốt thời gian dài.

securitydaily Lỗi API khiến Twitter để lộ tin nhắn người dùng trong gần 16 tháng

Lỗi trong API (giao diện chương trình ứng dụng) vô tình khiến Twitter để lộ tin nhắn người dùng (direct messages) và dòng trạng thái (tweet) cho các nhà phát triển ứng dụng của bên thứ ba. Twitter đã công bố tin này trong Developer Blog hồi thứ 6 tuần qua.

Chi tiết sự việc

Twitter đã tìm thấy lỗi trong Account Activity API (AAAPI), được sử dụng bởi các nhà phát triển đã đăng ký nhằm xây dựng các công cụ hỗ trợ giao tiếp kinh doanh với khách hàng và lỗi này có thể đã gây ra việc Twitter để lộ tin nhắn người dùng.

Lỗi AAAPI của Twitter đã xuất hiện hơn một năm — từ tháng 5 năm 2017 đến ngày 10 tháng 9 — khi nền tảng mạng xã hội này phát hiện ra vấn đề và vá nó “trong vòng vài giờ sau khi phát hiện ra”.

Nói cách khác, lỗi này diễn ra trên Twitter gần 16 tháng.

“Nếu bạn tương tác với một tài khoản hoặc một doanh nghiệp trên Twitter sử dụng AAAPI để cung cấp các dịch vụ của họ, những tương tác này có thể đã bị lộ và bị vô tình gửi tới những nhà phát triển có trong danh sách đăng kí khác.” – Twitter giải thích vì sao Twitter để lộ tin nhắn người dùng.

Việc này diễn ra như thế nào?

Lỗi nằm trong cách AAAPI của Twitter hoạt động. Nếu người dùng tương tác với một tài khoản hoặc doanh nghiệp trên Twitter sử dụng AAAPI, lỗi này sẽ “vô tình” gửi một hoặc nhiều tin nhắn của họ và tweet được bảo vệ tới nhầm các nhà phát triển thay vì những người được ủy quyền.

Twitter giải thích: “Dựa trên phân tích ban đầu của chúng tôi, lỗi chỉ xảy ra khi có một loạt các điều kiện phức tạp xảy ra cùng một lúc thì mới dẫn tới việc Twitter để lộ tin nhắn người dùng cho đối tượng khác.”

Bao nhiêu người dùng Twitter bị ảnh hưởng?

Đọc thêm:   Top 10 ứng dụng Android miễn phí nên dùng

Mặc dù Twitter tuyên bố chưa phát hiện ra bất kỳ bằng chứng nào cho thấy tin nhắn và dòng trạng thái của người dùng bị một nhà phát triển khác nhận được nhưng công ty này cũng “không thể xác nhận chuyện này không xảy ra”.

Vì vậy, Twitter thông báo cho những người có khả năng bị ảnh hưởng, mà theo Twitter, là ít hơn 1 phần trăm. Vì Twitter hiện có 336 triệu người dùng hoạt động hàng tháng, lỗi này có thể có khả năng ảnh hưởng đến hơn 3 triệu người.

Cần lưu ý rằng lỗi Twitter để lộ tin nhắn người dùng chỉ liên quan đến tin nhắn direct và tương tác với các công ty sử dụng Twitter “cho những thứ như dịch vụ khách hàng” – chứ không phải tất cả các tin nhắn direct.

Twitter xử lí sự việc như thế nào?

Twitter nói công ty này đã liên lạc với các nhà phát triển nhận được các dữ liệu không mong muốn và đang “làm việc để đảm bảo rằng các nhà phát triển phải tuân thủ các nghĩa vụ và xóa thông tin họ đáng lẽ không sở hữu.”

Twitter cho biết cuộc điều tra của họ về lỗi này vẫn “đang diễn ra” và đảm bảo với người dùng rằng tại thời điểm hiện tại, công ty “tin rằng không có bất kỳ dữ liệu nào bị gửi tới nhầm nhà phát triển bị sử dụng sai mục đích”.

Những người dùng bị ảnh hưởng có thể làm gì?

Không làm gì cả. Bạn không thể làm gì một khi dữ liệu của bạn rơi vào nhầm đối tượng.

Giống như trong trường hợp của Cambridge Analytica, khi Facebook yêu cầu các nhà phát triển xóa dữ liệu trích dẫn theo chính sách về quyền riêng tư của mình, nhưng chúng ta đều biết những gì đã xảy ra. Twitter chỉ có thể đảm bảo các nhà phát triển bên thứ ba tuân thủ nghĩa vụ xóa thông tin của bạn, còn những nhà phát triển đó có thực hiện hay không thì không thể xác nhận được.

THN