Речь идет о ситуации, когда пользователь меняет пароль на одном устройстве, но его открытый под старым паролем сеанс на другом устройстве все еще остается активен.
То есть любой, кто имеет доступ к гаджету, может пользоваться аккаунтом, делать записи, просматривать данные и ленту, пока хозяин учетной записи уверен, что защищен новым паролем.
Обнаружив ошибку, инженеры Twitter тут же отключили все активные сессии и опубликовали официальное заявление, извинившись за неудобства, которые эта мера могла причинить (пользователям пришлось везде заново залогиниваться).
Но беда в том, что сам же Twitter объясняет: ошибка возникла после изменений, внесенных в прошлом году в системы, которые обеспечивали сброс пароля.
А это уже означает, что баг мог существовать в течение нескольких месяцев. И существовать незамеченным.
Это особенно печально, поскольку происходит спустя всего неделю после выступления в суде между соцсетью и Илоном Маском бывшего главы службы безопасности Twitter Пейтера Затко, пишет TechCrunch.
Ведь Затко обвинил компанию как раз в недостаточных усилиях в сфере кибербезопасности.
Учитывая целую цепочку инцидентов в Twitter, связанных с безопасностью (это и утечка персональных данных 5,4 млн аккаунтов, и раскрытие контактов пользователей рекламщикам, и лазейка, позволяющая сопоставить телефоны с учеными записями в соцсети), даже эта мелочь вызывает негатив.
В общем контексте такая пусть и небольшая ошибка может рассматриваться, как еще один пример действительно глобальных проблем с кибербезопасностью в Twitter.
Фото на обложке: Jeremy Bezanger / Unsplash