"Sunshine in Manchester" | Pep Guardiola Reveals Liverpool Preparation
Gebruikers die zich bij derden hebben aangemeld Web- of mobiele applicaties die hun Twitter-accounts gebruiken, zouden die applicaties mogelijk toegang hebben gegeven tot hun Twitter-privé 'directe' berichten zonder het te weten, aldus Cesar Cerrudo, de chief technology officer van beveiligingsadviesbureau IOActive.
De kwestie is het resultaat van een foutje in de Twitter-API (applicatie-programmeerinterface) die ertoe leidde dat gebruikers niet goed geïnformeerd werden over welke toestemmingen een applicatie zal hebben op hun accou nts eenmaal toegang verleend. Cerrudo beschreef het probleem en legde uit hoe hij het ontdekte in een blogpost die dinsdag werd gepubliceerd.
Toepassingen die gebruikers in staat stellen om in te loggen met hun Twitter-accounts moeten worden geregistreerd bij Twitter op //dev.twitter.com/apps. Tijdens de registratie moeten hun ontwikkelaars aangeven welk toegangsniveau de applicaties hebben voor de accounts van mensen: "alleen lezen", "lezen en schrijven" of "lezen, schrijven en toegang krijgen tot directe berichten."
[Meer informatie: Hoe om malware van uw Windows-pc te verwijderen]Wanneer gebruikers voor het eerst in zo'n applicatie proberen in te loggen met behulp van hun Twitter-accounts, worden ze omgeleid naar een autorisatiepagina op Twitter's website met de rechten die door de betreffende applicatie zijn aangevraagd. <
Cerrudo zei dat hij het probleem ontdekte toen hij een toepassing testte die was ontwikkeld door een vriend die een "lees, schrijf en toegang tot directe berichten" toestemming had verklaard met Twitter.
Toen hij zich voor het eerst aanmeldde bij de applicatie met zijn Twitter account, werd hij doorverwezen naar een autorisatiepagina die hem op de hoogte bracht dat de applicatie tweets van zijn tijdlijn zou kunnen lezen, zien welke gebruikers hij volgt, nieuwe gebruikers voor zijn rekening volgen, zijn profiel inf updaten ormatie en post tweets namens hem, zei hij. De pagina gaf duidelijk aan dat de applicatie geen toegang zou kunnen krijgen tot directe berichten of het wachtwoord van de account.
"Na het bekijken van de weergegeven webpagina, vertrouwde ik erop dat Twitter de applicatie geen toegang zou geven tot mijn wachtwoord en directe berichten," hij schreef op de blog. "Ik vond dat mijn account veilig was, dus ik meldde me aan en speelde met de applicatie."
De onderzoeker merkte op dat de applicatie functionaliteit had om directe berichten te openen en weer te geven, maar de functie leek niet te werken. Dit was logisch omdat hem niet was gevraagd om die toestemming te verlenen.
Echter, na een paar keer aanmelden en afsluiten van de applicatie en Twitter, verschenen zijn directe berichten in de applicatie. Bij het controleren van de lijst van applicaties die geautoriseerd zijn om te communiceren met zijn Twitter-account (Instellingen> Apps), merkte hij op dat de applicatie in feite de rechten voor lezen, schrijven en toegang had tot directe berichten.
"Ik besefte dat dit een enorme beveiliging was hole, "zei Cerrudo. "Ze zeiden dat het probleem zich voordeed vanwege ingewikkelde code en onjuiste aannames en validaties," zei Cerrudo in de blogpost. De oplossing van Twitter lijkt echter niet met terugwerkende kracht van toepassing te zijn. Nadat Twitter het probleem had verholpen, testte de Cerrudo-app die al toegang had tot zijn account, om directe berichten weer te geven, ondanks dat hij nooit de toestemming had gekregen om dat te doen, zei hij. Twitter-gebruikers moeten controleren of apps die ze in het verleden hebben geautoriseerd ook zonder hun medeweten toegang hebben gekregen tot hun directe berichten, zei Cerrudo. Dit kan worden gedaan door hun machtigingen te bekijken op de pagina Twitter-instellingen> Apps. Cerrudo heeft besloten dit probleem openbaar te maken omdat het serieuze implicaties kan hebben en omdat Twitter geen openbaar advies of aankondiging hierover heeft uitgebracht. Het bedrijf zou een speciale pagina moeten bijhouden waar het gebruikers over beveiligingsproblemen kan informeren, zei hij. Twitter reageerde niet onmiddellijk op een verzoek om commentaar.
Satyam verkoopt meerderheidsbelang in wereldwijd bod Bieders zullen echter geen toegang hebben tot gedetailleerde bedrijfsboekhouding boeken omdat
Ze hebben mogelijk ook geen toegang tot gegevens over de klanten van het bedrijf omdat dat wordt als concurrerende informatie beschouwd.
Sommige investeerders hebben gezegd dat zij de precieze details van het concurrerende biedingsproces en de informatie die voor beleggers beschikbaar wordt gemaakt, later bekend maken. zal niet deelnemen aan een bieding als niet alle financiële informatie voor hen beschikbaar
Senaatsrekening mogelijk te maken voor onbevoegde overheidstoegang tot uw online services
Een senaatswet die op een bepaald moment beveiligde e-mail zou hebben beveiligd privacy is de tegenovergestelde weg ingeslagen en zou toezicht van de overheid op onlinediensten zonder een bevelschrift mogelijk maken als het in de wet wordt omgezet.
Hoe u app-toegang van derden kunt intrekken vanuit uw Google-account
Bezorgd over apps die uw persoonlijke gegevens en uw misbruik van informatie stelen? Hier is een gemakkelijke manier om app-toegang van derden vanaf uw Google-account in te trekken