Nesta sexta-feira, 21, o Twitter afirmou que um bug recentemente corrigido em sua plataforma permitia que os desenvolvedores de software lessem as mensagens diretas privadas dos usuários ou os tweets protegidos.
O bug foi executado a partir de maio de 2017 até que foi descoberto em 10 de setembro – depois do qual o Twitter corrigiu a falha para evitar que os dados fossem enviados acidentalmente ao desenvolvedor incorreto. O Twitter disse que menos de 1% de seus mais de 335 milhões de usuários ativos mensais do Twitter foram impactados.
O bug existia na API de atividade da conta do Twitter (AAAPI), que permite que os desenvolvedores registrados criem ferramentas para se comunicar com os clientes no Twitter.
"Se você interagisse com uma conta ou empresa no Twitter que confiasse em um desenvolvedor usando a AAAPI para fornecer seus serviços, o bug pode ter causado o envio não intencional de algumas dessas interações para outro desenvolvedor registrado", disse o Twitter em um post nesta sexta-feira. "Em alguns casos, isso pode incluir algumas mensagens diretas ou tweets protegidos, por exemplo, uma mensagem direta com uma companhia aérea que autorizou um desenvolvedor AAAPI. Da mesma forma, se a sua empresa autorizou um desenvolvedor usando o AAAPI a acessar sua conta, o bug pode ter afetado seus dados de atividade por engano."
O bug pode ter ocorrido quando dois ou mais desenvolvedores registrados possuíam assinaturas AAAPI configuradas para domínios que foram resolvidos para o mesmo IP público; ou, se tiverem atividade relevante para sua assinatura, ocorrer no mesmo período de seis meses e se as atividades de seus assinantes forem originadas no mesmo servidor de back-end no data center do Twitter. Além disso, para assinaturas ativas, os caminhos de URL (após o domínio) precisavam corresponder exatamente entre os desenvolvedores registrados para o problema a ser acionado.
Um porta-voz do Twitter disse que a empresa está confiante de que os dados não foram mal utilizados: "Qualquer parte que tenha recebido informações não intencionais foi um desenvolvedor registrado por meio de nosso programa de desenvolvedores, que expandimos significativamente nos últimos meses para evitar abusos e uso indevido de dados.
O Twitter disse que sua investigação ainda está em andamento, mas qualquer usuário afetado foi notificado por meio de um aviso no aplicativo.
O Twitter explicou que uma falha fazia com que as senhas das contas fossem armazenadas em texto simples em um registro interno, fazendo com que os usuários atravessassem a plataforma para mudar suas senhas. A empresa de mídia social disse que encontrou e consertou a falha, e que sua investigação não mostrava nenhuma indicação de violação ou uso indevido.
