باگ توییتر احتمالا اطلاعات خصوصی کاربران را فاش نکرده است

برخی از کاربران توییتر روز جمعه پیغامی دریافت کردهاند که هشدار داده بود یک باگ، «ممکن است» به پیامهای خصوصی و توییتهای حفاظتشده آنها دسترسی پیدا کرده و این اطلاعات را در اختیار توسعهدهندگان قرار داده باشد. اما شرایط دسترسی به این اطلاعات بهاندازهای دور از انتظار است که احتمال میرود اطلاعات هیچ کاربری فاش نشده باشد.

این احتمال وجود دارد که باگ معرفی شده در اردیبهشت ۱۳۹۶، حساب کاربرانی را تحت تأثیر قرار داده باشد که با حسابهای مرتبط با کسبوکار در تعامل بودهاند. درنتیجه، اطلاعات منتشر شده شامل تعاملات مشتریان با سرویسهای خدماتی خواهد بود. کاربرانی که به فرد یا کسبوکارهایی پیغام داده باشند که از API خاصی به نام AAAPI استفاده میکنند، ممکن است پیامهای خصوصیشان در اختیار توسعهدهندگان قرار گرفته باشد. AAAPI رابطی کاربری است در اختیار توسعهدهندگان برتر که در سطح سازمانی قرار میگیرد و امکان دسترسی به فعالیتهای گستردهای را فراهم میکند. این امکانات شامل ساختن اپلیکیشن شخص ثالثی (Third-Party) است که میتواند کاربران را دنبال کند، میوت کند، بلاک کند، از طرف آنها پیغام بگیرد یا پیغام بفرستد.

AAAPI معمولا برای ساخت ابزارهایی مورد استفاده قرار میگیرد که اجازه میدهد نمایندگان خدمات پس از فروش، با توییتهای شکایتآمیز مشتریها در مورد محصول یا خدمات شرکت تعامل داشته باشند. بهعنوان مثال کاربری که در توییتی در مورد یکی از محصولات Adobe شکایت کرده باشد، از این طریق توییتی از طرف خدمات پشتیبانی مشتری دریافت میکند. همچنین اگر کاربر امکان دریافت پیغام را باز گذاشته باشد، بعد از شکایت به جای توییت یک پیغام از طرف شرکت مورد نظر دریافت خواهد کرد.

برندها برخلاف مشتریها از وبسایت یا اپلیکیشن توییتر برای برقراری ارتباط استفاده نمیکنند. بلکه از رابطهای کاربری استفاده میکنند که توسط توسعهدهندگان طراحی و فروخته میشود. ساخت رباتهای چت یکی دیگر از موارد استفاده از AAAPI توسط توسعهدهندگان است.

باگ توییتر باعث میشود برخی از پیغامهای خصوصی میان کاربران و شرکتها در اختیار سایر توسعهدهندگان AAAPI قرار بگیرد. همچنین توییتهای کاربرانی که پروفایل خصوصی دارند نیز ممکن است فاش شود. با این حال توییتر اعلام کرده است برای بروز چنین اتفاقی، شرایط فنی و پیچیدهی خاصی باید به طور همزمان اتفاق بیفتد که به نظر میرسد احتمال فاش شدن اطلاعات صفر باشد.

برای فاش شدن چنین اطلاعاتی، اول از همه هر دو گیرندهی مجاز و غیرمجاز باید اشتراک AAAPI را روی دامنههایی داشته باشند که IP عمومی یکسان دارند. تنها راه بروز چنین اتفاقی این است که شرکت مورد نظر چند توسعهدهندهی مشترک برای کار روی محصولات مختلف روی API داشته باشد.

دومین شرط این است که دامنهها باید قسمتی از یوآرال که بعد از com. یا org. قرار میگیرد را به اشتراک گذاشته باشند که این موضوع هم احتمال قرار گرفتن اطلاعات در اختیار سایر توسعهدهندگان را کاهش میدهد. سومین شرط این است که توسعهدهندهها باید در یک بازهی ۶ دقیقهای یکسان از AAAPI استفاده کرده باشند که باز هم احتمال را کاهش می دهد زیرا شرکتهایی بزرگی مانند مکدونالد در روز به صدها یا هزاران توییت کاربران باید پاسخ دهند. از همه مهمتر اینکه فعالیت دو توسعهدهنده باید از یک سرور بکاند در مرکز دادهی توییتر سرچشمه گرفته باشد.

هنوز از سوی توییتر اعلام نشده چه تعداد از توسعهدهندگان به اطلاعات سایر کاربران دسترسی پیدا کردهاند. گفته شده است حتی اگر تمام شرطها هم برقرار شوند، کمتر از یک درصد کاربران تحت تأثیر این باگ قرار گرفتهاند. با توجه به زیاد بودن تعداد کاربران، در صورت برقرار بودن تمام شرطها اطلاعات خصوصی میلیونها نفر فاش شده اما احتمال وقوع آن بسیار پایین است.

همچنین تمام توسعهدهندگان باید به قوانین حفاظت از حریم خصوصی پایبند باشند، این یعنی اگر توسعهدهندگانی به اشتباه اطلاعات کاربران را دریافت کرده باشند، شامل این قانون هستند و نباید اطلاعات را منتشر کنند.