某Twitter漏洞使Android用户的私人内容暴露在公网长达4年

噬魂  61天前

1.jpg

Twitter刚刚承认,旗下APP在长达4年的时间里都存在某个隐私泄露漏洞,某些Android用户所发布的受保护的推文内容可能会被公众所看到。

当你注册Twitter时,如果你选择默认选项,你发布的所有twitter内容都会对外公开,任何人都可查看并和你互动。当然,你可以对你发布的内容进行权限控制,限制他人查看。

当你启用“保护你的twitter”设置时,他人就看不到您的twitter内容,除非他已关注了你。而当新用户想关注你时,你将收到一个关注请求,一旦你同意,他就可以看到你发的内容。

几天前,Twitter披露了一个可追溯到2014年11月3日的隐私泄露漏洞,该漏洞可能导致Android用户不知情的情况下禁用“保护你的twitter”设置,使他们的twitter内容对外公开。

只有在2014年11月3日至2019年1月14日期间使用Android应用更改过帐户设置(如更改与帐户相关的电子邮件地址或电话号码)的用户才会触发该漏洞。

Twitter在其声明中表示:“我们很抱歉发生了这种情况,我们正在进行全面的审查,以帮助防止这种情况再次发生。”在2019年1月14日,Twitter发布了Android应用的更新,以修复该漏洞。

虽然twitter没有具体说明有多少用户受到影响,但考虑到漏洞存在时间长度4年,很可能大多数用户都会受到影响。Twitter同时表示,已联系其所知的所有受影响用户。

但是,由于Twitter“不能确认所有受到影响的用户”,所以任何人都需要检查“隐私和安全”中“保护你的twitter”的设置是否出问题。

值得注意的是,该泄露漏洞曝出时,Twitter正因违反新的通用数据保护条例(GDPR)而受到欧盟的调查。新法律规定,欧洲公民拥有向所有公司索取个人数据的权利,但Twitter拒绝了一位研究人员索取其短网址服务相关数据的要求,爱尔兰数据保护委员会(DPC)正对此展开调查。

据彭博社报道,民主党似乎也了解到该数据泄露漏洞,民主党委员会目前正在调查此事。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://thehackernews.com/2019/01/twitter-privacy-settings.html

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋

nosec.org All Rights Reserved 京ICP备15042518号