Durch eine Twitter-Störung wurden die Standortdaten von iOS-Benutzern "versehentlich" an einen ungenannten Partner weitergegeben.
Twitter hat einen Sicherheitsfehler in seiner Plattform offengelegt, durch den die Standortdaten von iOS-Benutzern versehentlich weitergegeben wurden.
Der Twitter für iOS-Bug ließ die Standortdaten auf Postleitzahlen- oder Städteebene durchsickern, wie das Social-Media-Unternehmen am Montag bekannt gab. Twitter betonte, dass es den Fehler behoben habe, bot aber nur wenige Details darüber an, wann der Fehler entdeckt wurde, wie viele Nutzer betroffen waren und wer auf die Standortdaten tatsächlich zugegriffen hat.
"Wenn Sie mehr als ein Konto bei Twitter für iOS verwendet haben und sich dafür entschieden haben, die genaue Standortfunktion in einem Konto zu verwenden, haben wir möglicherweise versehentlich Standortdaten gesammelt, als Sie ein anderes Konto/andere Konten auf demselben Gerät verwendet haben, für das Sie die genaue Standortfunktion nicht aktiviert hatten", sagte Twitter in einem Montag-Post.
Laut Twitter trat die Störung während eines als Echtzeit-Bieten bekannten Werbeprozesses auf und führte dazu, dass der Standort an einen nicht namentlich genannten Partner gesendet wurde. Mit Real-Time Bidding können Twitter-Werber die Systeme der Partner nutzen, um Anzeigen für Social-Media-Kampagnen zu bieten, zu kaufen und zu schalten.
Laut Twitter-Seite werden über diese Partnerschaften Daten auf Geräteebene, einschließlich demografischer Daten, ausgetauscht, um Werbetreibenden die Entscheidung zu erleichtern, wann sie Anzeigen kaufen und welche Anzeigen sie schalten wollen.
"So könnte Twitter beispielsweise mitteilen, dass die Kennung eines Mobilgeräts einem männlichen Nutzer im Alter von 25 bis 34 Jahren entspricht, um Werbetreibenden zu helfen, Anzeigen zu schalten, die besser auf diese Zielgruppe zugeschnitten sind", so die Twitter-Hilfeseite. "Twitter gibt Ihren Namen, Ihre E-Mail-Adresse, Ihre Telefonnummer oder Ihren Twitter-Handgriff nicht an [Echtzeit-Bieter] Partner weiter. Diese Partner können jedoch die von uns geteilten Daten auf Geräteebene mit dem Namen, der E-Mail, der Telefonnummer oder anderen persönlichen Daten eines Benutzers verbinden, die auf anderen Informationen im Besitz des Partners basieren (z.B. wenn der Benutzer sich für ein Konto beim Dienst dieses Partners angemeldet hat). Diese Partnerschaften erfordern, dass sie Ihre Zustimmung erhalten, bevor sie dies tun.
Twitter sagte jedoch, dass es beabsichtigt habe, die Standortdaten aus den Echtzeit-Bietfeldern, die an den Partner gesendet wurden, zu entfernen - aber diese "Entfernung des Standorts geschah nicht wie geplant".
Folglich "haben wir bei Personen, die Twitter für iOS nutzen und von denen wir versehentlich Standortinformationen gesammelt haben, diese Informationen möglicherweise auch an einen vertrauenswürdigen Werbepartner weitergegeben", so Twitter.
Das Unternehmen versuchte, die Situation herunterzuspielen, indem es sagte, es habe technische Maßnahmen ergriffen, um die geteilten Daten zu "fuzzen", so dass sie nicht präziser als Postleitzahlen- oder Ortsdaten seien; so dass die Daten nicht zur Bestimmung einer Adresse oder zur genauen Abbildung der Bewegungen der Nutzer verwendet werden könnten. Twitter betonte auch, dass der Partner keine Daten wie Twitter-Handles oder andere eindeutige Konto-IDs erhalten hat, die die Identität der Benutzer auf Twitter hätten kompromittieren können - und dass die Standortdaten nicht aufbewahrt wurden.
"Wir haben mit unserem Partner bestätigt, dass die Standortdaten nicht aufbewahrt wurden und dass sie nur für kurze Zeit in ihren Systemen existierten und dann als Teil ihres normalen Prozesses gelöscht wurden", sagte Twitter.
Dieser jüngste Fehler in der Plattform von Twitter ist nicht die erste Schwachstelle, die die Social-Media-Plattform aufgedeckt hat. Im Januar enthüllte Twitter ein Sicherheitsproblem, das seit mehr als vier Jahren geschützte Tweets auf Android-Geräten offenbart hatte.
Im Dezember 2018 wurden zwei kürzlich gepatchte Fehler enthüllt, darunter eine Lücke, die es bösen Akteuren versehentlich ermöglichte, die Ländervorwahlen der Telefonnummern von Konten zu ziehen - und enthüllte, dass mehrere IP-Adressen in China und Saudi-Arabien versucht haben könnten, auf die freigegebenen Daten zuzugreifen.
Und im September 2018 teilte Twitter mit, dass ein kürzlich gepatchter Fehler in seiner Plattform es Software-Entwicklern ermöglichte, private Direktnachrichten oder geschützte Tweets der Nutzer zu lesen. Im Mai 2018 hieß es unterdessen, ein Fehler habe dazu geführt, dass Kontopasswörter im Klartext in einem internen Protokoll gespeichert wurden, so dass die Nutzer über die Plattform verschlüsselt wurden, um ihre Passwörter zu ändern. Das Social-Media-Unternehmen sagte, dass es den Fehler gefunden und behoben habe und dass seine Untersuchung keine Hinweise auf eine Verletzung oder einen Missbrauch ergeben habe.
Twitter reagierte nicht auf eine Anfrage von Threatpost, die nach der Pressezeit auf die Zeitachse und den Umfang der undichten Stelle zu kommentieren.