Fout in Twitter stuurde privéberichten aan bedrijven mogelijk naar andere ontwikkelaars

Door een fout in een API van Twitter zijn een aantal privéberichten van sommige gebruikers mogelijk inzichtelijk geworden voor ontwikkelaars van derde partijen. De fout zat in de Account Activity API (AAAPI), waarmee ontwikkelaars diensten voor bedrijven maken voor het communiceren met klanten.

De fout is sinds mei 2017 aanwezig geweest. Op 10 september dit jaar werd de fout ontdekt en binnen een paar uur opgelost, meldt The Verge. Minder dan een procent van de gebruikers werd door de fout getroffen, maar dat kunnen nog steeds 3 miljoen mensen zijn. Twitter heeft namelijk 335 miljoen actieve gebruikers.

De AAAPI wordt door ontwikkelaars ingezet als zij diensten maken voor bedrijven die met klanten willen communiceren. Als voorbeeld geeft het sociale medium een privébericht aan een luchtvaartmaatschappij dat een ontwikkelaarsaccount gebruikt om toegang te krijgen tot de getroffen API.

Fout

“Als je contact hebt gehad met een account of bedrijf op Twitter dat gebruikmaakte van een ontwikkelaar die de AAAPI gebruikt om de diensten te leveren, kan de bug ervoor gezorgd hebben dat een deel van deze interacties onbedoeld naar een andere ontwikkelaar verstuurd zijn”, aldus het platform.

“Heeft je bedrijf een ontwikkelaar die de AAAPI gebruikt toestemming gegeven om toegang te krijgen tot je account, dan kan de fout je activiteitsdata getroffen hebben.” In dergelijke privéberichten van en naar bedrijven staat soms gevoelige informatie over klanten. Het kan bijvoorbeeld om een adres gaan, als er om informatie bij PostNL wordt gevraagd.

Twitter zegt geen bewijs te hebben gevonden dat privéberichten naar de verkeerde partij zijn verzonden, maar kan niet met volledige zekerheid zeggen dat dit inderdaad niet gebeurd is. Voordat een bericht naar de verkeerde partij werd verzonden, was wel een “complexe serie aan technische omstandigheden” vereist.

Het sociale medium neemt contact op met getroffen gebruikers via zijn mobiele app en website. Ook werkt het samen met ontwikkelaars om er zeker van te zijn dat mensen die ongeautoriseerde informatie hebben ontvangen, het weer verwijderen.