Cuando borras un mensaje directo (DM) de Twitter, esperas que se borre y no se pueda recuperar nunca más. Pero según un artículo publicado por el investigador de seguridad Karan Saini, dice que encontró sus viejos mensajes de Twitter borrados de las carpetas de archivo de los destinatarios que pertenecían a las cuentas de Twitter que fueron borradas. Twitter permite a los remitentes borrar sus mensajes directos, pero los mensajes sólo se borran desde su extremo y no desde el del destinatario (y viceversa).
Twitter retiene mensajes directos durante años, incluyendo mensajes que usted y otros han borrado, pero también datos enviados a y desde cuentas que han sido desactivadas y suspendidas. Saini dijo que le preocupaba que los datos fueran retenidos por Twitter durante tanto tiempo.
ya que, Saini encontró mensajes de hace años en un archivo con sus datos obtenidos a través del sitio web de cuentas que ya no estaban en Twitter. También informó de un error similar, encontrado un año antes pero no revelado hasta ahora, que le permitía utilizar una API ya depreciada para recuperar mensajes directos incluso después de que un mensaje fuera eliminado tanto por el remitente como del destinatario - sin embargo, el error no era capaz de recuperar mensajes de cuentas suspendidas.
Los mensajes directos permiten a los usuarios "des-enviar" mensajes de la bandeja de entrada de otra persona, simplemente eliminándolos de la suya propia. Twitter cambió esto hace años, y ahora sólo permite a un usuario borrar mensajes de su cuenta. "Otros usuarios podrán entrar en la conversación y ver mensajes directos o conversaciones que un usuario haya borrado", dice Twitter su página de ayuda. Twitter también dice en su política de privacidad que cualquier persona que quiera dejar el servicio puede tener su cuenta "desactivada y luego borrada". Después de un período de gracia de 30 días, la cuenta desaparece, junto con sus datos. Pero esto no es así. En las pruebas llevadas a cabo, se pudieron recuperar mensajes directos de hace años, incluidos los mensajes antiguos que se habían perdido en cuentas suspendidas o eliminadas. Es decir, que al descargar los datos de la cuenta, es posible descargar todos los datos que Twitter almacena sobre cualquier persona.
Saini dice que se trata de un "error funcional" más que de un fallo de seguridad, pero argumenta que el error permite a cualquiera hacer un "bypass claro" de los mecanismos de Twitter para evitar el acceso a cuentas suspendidas o desactivadas.
Pero sobre todo el problema es que es una cuestión de privacidad, y un recordatorio de que "borrar" no significa borrar - especialmente con los mensajes directos. Esto puede exponer a los usuarios, en particular a los relatos de alto riesgo como periodistas y activistas, a las demandas de datos del gobierno.
WordPress.com
No hay comentarios.:
Publicar un comentario