Используя Twitter при авторизации в сторонних web-приложениях, пользователь оказывается под угрозой того, что его личные сообщения будут раскрыты.

Исследователь компании IOActive Labs Сезар Керрудо (Cesar Cerrudo) поставил под вопрос безопасность авторизации в сторонних web-приложениях, используя учетную запись в Twitter, после того, как обнаружил приложение, которое получило полный доступ к его учетной записи.

Исследователь сообщает, что его личные сообщения в Twitter были скомпрометированы при помощи web-приложения, с которым он экспериментировал, хотя настройки конфиденциальности должны были предотвратить доступ.

Сейчас все большее количество интернет-сервисов предлагают пользователям зарегистрироваться, используя свои учетные записи в социальных сетях. Керрудо сообщает, что лично он никогда не использует регистрационные данные своего Twitter, пока приложение полностью не пройдет проверку, и исследователь не убедится, что доступными остаются только опубликованные посты и сопутствующая информация, а не личные сообщения.

Настройки безопасности Twitter предполагают, что сторонние приложения должны запросить у пользователя разрешение на доступ к личным сообщениям, что они часто делают, не пройдя авторизацию. При этом Twitter не показывает никаких соответствующих сообщений. Этот простой "трюк" приложения используют для того, чтобы получать доступ к личным сообщениям пользователей.

По словам Керрудо, последнее обновление Twitter должно было устранить проблему безопасности, однако, у сторонних web-приложений все еще есть доступ к удаленным твиттам пользователей даже после того, как оно было удалено.