修复我们的账号动态 API 中的一个漏洞
我们最近在账号动态 API (AAAPI) 中发现了一个漏洞。此 API 允许已注册的开发者构建工具,以便更好地支持企业及其在 X 上与客户的沟通。如果你在 X 上与账号或企业进行互动,该账号或企业依赖于使用 AAAPI 的开发者提供服务,则该漏洞可能会导致其中一些互动被无意地发送给其他已注册的开发者。在某些情况下,这可能包括特定的私信或受保护的推文,例如与已授权 AAAPI 开发者的航空公司的私信。同样,如果你的企业授权的开发者使用 AAAPI 访问你的账号,则该漏洞可能会影响你的动态数据出错。
请务必要注意,根据我们的初步分析,必须在一系列复杂的技术环境同时发生时,此漏洞才会导致账号信息决定性地与错误的来源共享。 更多信息请点击这里。
重要更新:
- 该漏洞从 2017 年 5 月开始运行,在 2018 年 9 月 10 日发现它的几个小时内,我们便发布了一个修复程序,以防止数据在无意中发送给错误的开发者。
- 该漏洞影响了 X 上不到 1% 的人。
- 任何收到非预期信息的一方都是通过我们的开发者计划注册的开发者,我们最近几个月已经大幅扩展了该计划,以防止数据滥用和误用。
下一步是什么?
- 如果你的账号受到此漏洞的影响,我们会通过应用内通知和 twitter.com 与你直接联系。
- 我们已经联系了我们的开发者合作伙伴,并正在与他们合作以确保他们履行义务,删除他们不应拥有的信息。
- 我们的调查将持续进行。我们将继续提供任何相关信息的最新进展。
我们对发生此次事件深表抱歉。我们理解和感谢你对我们的信任,并且力求每天不断努力赢得这种信任。如需了解我们最新的 API 政策以及如何监控你在 X 上使用的应用的更多信息,请参阅 此处 和 此处。