Egor Homakov นักวิจัยความปลอดภัยค้นพบช่องโหว่ใน Twitter ที่อนุญาตให้แอพสามารถส่งข้อความโดยตรงหรือที่เรียกว่า DM (direct message) ถึงผู้อื่นได้ โดยไม่ต้องขออนุญาตจากผู้ใช้

เว็บไซต์ The Next Web ได้ทดสอบตามคำกล่าวอ้างของ Homakov โดยใช้แอพ Twitpic ซึ่งเป็นแอพที่ไม่ได้ขอใช้สิทธิการเข้าถึง DM ของผู้ใช้ในระหว่างการเชื่อมต่อกับบัญชี Twitter ทว่าโดยการใช้คำสั่ง "d twitter_username message" ทำให้พวกเขาสามารถส่ง DM ถึงผู้ใช้อื่นด้วย Twitpic ได้

จากสภาพการณ์ข้างต้น ผู้ใช้จะไม่ทราบเลยว่ามีการส่ง DM ออกไปในนามของตนเอง จนกว่าจะมีติดต่อกลับจากผู้รับ DM หรือมีการเข้าไปตรวจสอบ DM ที่ถูกส่งออกไปโดยผู้ใช้เอง (ซึ่งผู้ใช้บางรายอาจไม่ได้ตรวจสอบเลยหากไม่มีการแจ้งเตือน) ทำให้นี่อาจกลายเป็นช่องทางของสแปม หรือการหลอกลวงเอาข้อมูลต่างๆ

นักวิจัยด้านความปลอดภัยอีกรายที่ใช้ชื่อว่า DaKnOb อ้างว่าเขาได้เจอปัญหานี้ตั้งแต่ปีก่อนและได้แจ้ง Twitter ไปแล้ว แต่ทาง Twitter กลับตอบเขาว่ามันเป็นฟีเจอร์ที่ควรจะทำงานเช่นนั้นอยู่แล้ว

ที่มา - The Next Web

@homakov I know. I told them. They said it is a Twitter feature and should be left as is

— DaKnOb (@DaKnObCS) December 14, 2013