Авторизация через Twitter может привести к утечке личных данных

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 24 янв 2013.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Используя Twitter при авторизации в сторонних web-приложениях, пользователь оказывается под угрозой того, что его личные сообщения будут раскрыты.

    Исследователь компании IOActive Labs Сезар Керрудо (Cesar Cerrudo) поставил под вопрос безопасность авторизации в сторонних web-приложениях, используя учетную запись в Twitter, после того, как обнаружил приложение, которое получило полный доступ к его учетной записи.

    [​IMG]

    Исследователь сообщает, что его личные сообщения в Twitter были скомпрометированы при помощи web-приложения, с которым он экспериментировал, хотя настройки конфиденциальности должны были предотвратить доступ.

    Сейчас все большее количество интернет-сервисов предлагают пользователям зарегистрироваться, используя свои учетные записи в социальных сетях. Керрудо сообщает, что лично он никогда не использует регистрационные данные своего Twitter, пока приложение полностью не пройдет проверку, и исследователь не убедится, что доступными остаются только опубликованные посты и сопутствующая информация, а не личные сообщения.

    Настройки безопасности Twitter предполагают, что сторонние приложения должны запросить у пользователя разрешение на доступ к личным сообщениям, что они часто делают, не пройдя авторизацию. При этом Twitter не показывает никаких соответствующих сообщений. Этот простой «трюк» приложения используют для того, чтобы получать доступ к личным сообщениям пользователей.

    По словам Керрудо, последнее обновление Twitter должно было устранить проблему безопасности, однако, у сторонних web-приложений все еще есть доступ к удаленным твиттам пользователей даже после того, как оно было удалено.

    Источник
     
    1 человеку нравится это.

Поделиться этой страницей