Twitter heeft stilletjes een lek gepatcht waardoor applicaties van derden toegang tot privéberichten konden krijgen, ook al hadden gebruikers dit niet toegestaan. De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Cesar Cerrudo van beveiligingsbedrijf IOActive Labs. Veel applicaties van derden maken het mogelijk dat gebruikers via hun Twitter-account inloggen.

Vervolgens toont Twitter waar deze applicaties precies toegang toe krijgen. Cerrudo was met een app aan het spelen waarvan Twitter had gezegd dat die geen toegang tot privéberichten zou krijgen. Toen hij voor een tweede keer via de microbloggingdienst was ingelogd, had de app opeens wel toegang tot privéberichten, zonder dat de onderzoeker hier toestemming voor had gegeven.

Oplossing
Wat precies de oorzaak was kon Cerrudo niet vaststellen, die het probleem bij Twitter rapporteerde. Het beveiligingslek werd binnen 24 uur, op 17 januari 2013 gepatcht. Volgens Twitter was het probleem door 'complexe code en incorrecte aannames en controles' ontstaan. Ondanks de patch blijkt dat applicaties waar gebruikers al bij waren ingelogd, nog steeds toegang tot privéberichten kunnen hebben.

Cerrudo is dan ook te spreken over de snelheid waarmee het probleem is opgelost en vindt het beveiligingsteam van Twitter zelfs fantastisch. Hij is minder tevreden over de afhandeling richting gebruikers. "Twitter heeft geen enkele waarschuwing of advisory uitgegeven om gebruikers te informeren."

Aangezien er 200 miljoen actieve Twitteraars zijn, zullen er volgens de onderzoeker nog miljoenen zijn die via een third-party applicatie bij Twitter zijn ingelogd. Daardoor is het nog steeds mogelijk dat derden toegang tot privéberichten hebben. Cerrudo roept dan ook zoveel mogelijk mensen op om Twitter-gebruikers hiervoor te waarschuwen, aangezien Twitter zelf het niet doet.