Egor Homakov นักวิจัยความปลอดภัยค้นพบช่องโหว่ใน Twitter ที่อนุญาตให้แอพสามารถส่งข้อความโดยตรงหรือที่เรียกว่า DM (direct message) ถึงผู้อื่นได้ โดยไม่ต้องขออนุญาตจากผู้ใช้
เว็บไซต์ The Next Web ได้ทดสอบตามคำกล่าวอ้างของ Homakov โดยใช้แอพ Twitpic ซึ่งเป็นแอพที่ไม่ได้ขอใช้สิทธิการเข้าถึง DM ของผู้ใช้ในระหว่างการเชื่อมต่อกับบัญชี Twitter ทว่าโดยการใช้คำสั่ง "d twitter_username message" ทำให้พวกเขาสามารถส่ง DM ถึงผู้ใช้อื่นด้วย Twitpic ได้
จากสภาพการณ์ข้างต้น ผู้ใช้จะไม่ทราบเลยว่ามีการส่ง DM ออกไปในนามของตนเอง จนกว่าจะมีติดต่อกลับจากผู้รับ DM หรือมีการเข้าไปตรวจสอบ DM ที่ถูกส่งออกไปโดยผู้ใช้เอง (ซึ่งผู้ใช้บางรายอาจไม่ได้ตรวจสอบเลยหากไม่มีการแจ้งเตือน) ทำให้นี่อาจกลายเป็นช่องทางของสแปม หรือการหลอกลวงเอาข้อมูลต่างๆ
นักวิจัยด้านความปลอดภัยอีกรายที่ใช้ชื่อว่า DaKnOb อ้างว่าเขาได้เจอปัญหานี้ตั้งแต่ปีก่อนและได้แจ้ง Twitter ไปแล้ว แต่ทาง Twitter กลับตอบเขาว่ามันเป็นฟีเจอร์ที่ควรจะทำงานเช่นนั้นอยู่แล้ว
ที่มา - The Next Web