eranico
www.eranico.com
شناسه مطلب: 92869  
تاریخ انتشار: 31 شهریور 1397
print

باگ توییتر احتمالا اطلاعات خصوصی کاربران را فاش نکرده است

شرایط لازم برای بهره‌برداری از باگ توییتر به اندازه‌ای پیچیدگی و نیاز به همزمانی دارد که احتمالا هیچ کاربری تحت تأثیر آن قرار نگرفته است.

برخی از کاربران توییتر روز جمعه پیغامی دریافت کرده‌اند که هشدار داده بود یک باگ، «ممکن است» به پیام‌های خصوصی‌ و توییت‌های حفاظت‌شده آن‌ها دسترسی پیدا کرده و این اطلاعات را در اختیار توسعه‌دهندگان قرار داده باشد. اما شرایط دسترسی به این اطلاعات به‌اندازه‌ای دور از انتظار است که احتمال می‌رود اطلاعات هیچ کاربری فاش نشده باشد.

این احتمال وجود دارد که باگ معرفی شده در اردیبهشت ۱۳۹۶، حساب کاربرانی را تحت تأثیر قرار داده باشد که با حساب‌های مرتبط با کسب‌وکار در تعامل بوده‌اند. درنتیجه، اطلاعات منتشر شده شامل تعاملات مشتریان با سرویس‌های خدماتی خواهد بود. کاربرانی که به فرد یا کسب‌وکارهایی پیغام داده باشند که از API خاصی به نام AAAPI استفاده می‌کنند، ممکن است پیام‌های خصوصی‌شان در اختیار توسعه‌دهندگان قرار گرفته باشد. AAAPI رابطی کاربری است در اختیار توسعه‌دهندگان برتر که در سطح سازمانی قرار می‌گیرد و امکان دسترسی به فعالیت‌های گسترده‌ای را فراهم می‌کند. این امکانات شامل ساختن اپلیکیشن شخص ثالثی (Third-Party) است که می‌تواند کاربران را دنبال کند، میوت کند، بلاک کند، از طرف آن‌ها پیغام بگیرد یا پیغام بفرستد.

AAAPI معمولا برای ساخت ابزارهایی مورد استفاده قرار می‌گیرد که اجازه می‌دهد نمایندگان خدمات پس از فروش، با توییت‌های شکایت‌آمیز مشتری‌ها در مورد محصول یا خدمات شرکت تعامل داشته باشند. به‌عنوان مثال کاربری که در توییتی در مورد یکی از محصولات Adobe شکایت کرده باشد، از این طریق توییتی از طرف خدمات پشتیبانی مشتری دریافت می‌کند. همچنین اگر کاربر امکان دریافت پیغام را باز گذاشته باشد، بعد از شکایت به جای توییت یک پیغام از طرف شرکت مورد نظر دریافت خواهد کرد.

برندها برخلاف مشتری‌ها از وب‌سایت یا اپلیکیشن توییتر برای برقراری ارتباط استفاده نمی‌کنند. بلکه از رابط‌های کاربری استفاده می‌کنند که توسط توسعه‌دهندگان طراحی و فروخته می‌شود. ساخت ربات‌های چت یکی دیگر از موارد استفاده از AAAPI توسط توسعه‌دهندگان است.

باگ توییتر باعث می‌شود برخی از پیغام‌های خصوصی میان کاربران و شرکت‌ها در اختیار سایر توسعه‌دهندگان AAAPI قرار بگیرد. همچنین توییت‌های کاربرانی که پروفایل خصوصی دارند نیز ممکن است فاش شود. با این حال توییتر اعلام کرده است برای بروز چنین اتفاقی، شرایط فنی و پیچیده‌ی خاصی باید به طور همزمان اتفاق بیفتد که به نظر می‌رسد احتمال فاش شدن اطلاعات صفر باشد.

برای فاش شدن چنین اطلاعاتی، اول از همه هر دو گیرنده‌ی مجاز و غیرمجاز باید اشتراک AAAPI را روی دامنه‌هایی داشته باشند که IP عمومی یکسان دارند. تنها راه بروز چنین اتفاقی این است که شرکت مورد نظر چند توسعه‌دهنده‌ی مشترک برای کار روی محصولات مختلف روی API داشته باشد.

دومین شرط این است که دامنه‌ها باید قسمتی از یوآرال که بعد از com. یا org. قرار می‌گیرد را به اشتراک گذاشته باشند که این موضوع هم احتمال قرار گرفتن اطلاعات در اختیار سایر توسعه‌دهندگان را کاهش می‌دهد. سومین شرط این است که توسعه‌دهنده‌ها باید در یک بازه‌ی ۶ دقیقه‌ای یکسان از AAAPI استفاده کرده باشند که باز هم احتمال را کاهش می دهد زیرا شرکت‌هایی بزرگی مانند مک‌دونالد در روز به صدها یا هزاران توییت کاربران باید پاسخ دهند. از همه مهم‌تر اینکه فعالیت دو توسعه‌دهنده باید از یک سرور بک‌اند در مرکز داده‌ی توییتر سرچشمه گرفته باشد.

هنوز از سوی توییتر اعلام نشده چه تعداد از توسعه‌دهندگان به اطلاعات سایر کاربران دسترسی پیدا کرده‌اند. گفته شده است حتی اگر تمام شرط‌ها هم برقرار شوند، کمتر از یک درصد کاربران تحت تأثیر این باگ قرار گرفته‌اند. با توجه به زیاد بودن تعداد کاربران، در صورت برقرار بودن تمام شرط‌ها اطلاعات خصوصی میلیون‌ها نفر فاش شده اما احتمال وقوع آن بسیار پایین است.

همچنین تمام توسعه‌دهندگان باید به قوانین حفاظت از حریم خصوصی پایبند باشند، این یعنی اگر توسعه‌دهندگانی به اشتباه اطلاعات کاربران را دریافت کرده‌ باشند، شامل این قانون هستند و نباید اطلاعات را منتشر کنند.

منبع :  زومیت

لینک مطلب: https://www.eranico.com/fa/content/92869