Благодаря исследователю безопасности Карану Саини было установлено, что Twitter хранит личные сообщения пользователей в течение многих лет, пишет TechCrunch. В том числе сообщения, которые они удалили. Помимо этого, компания хранит данные, отправленные аккаунтам, которые были деактивированы или приостановлены.
Саини нашел сообщения годичной давности в файле архива удаленного аккаунта. Он также сообщил об аналогичной ошибке, обнаруженной годом ранее, но не раскрытой. Эта ошибка позволяла ему использовать устаревший API для получения доступа к личным сообщениям даже после того, как сообщение было удалено отправителем и получателем. Саини заявил, что у него есть «опасения», что Twitter хранит данные гораздо дольше, чем заявляет.
Ранее, удалив сообщение, пользователь мог быть уверен, что оно исчезло из диалога как с его стороны, так и со стороны собеседника. Теперь же ситуация другая – пользователь, удаляя сообщение, ликвидирует его лишь в своем аккаунте.
Twitter также заявляет в своей политике конфиденциальности, что любой желающий покинуть социальную сеть может восстановить свою учетную запись в течение 30-дней. По истечении периода учетная запись исчезает вместе со своими данными. Однако специалисты TechCrunch в своих тестах смогли восстановить личные сообщения многолетней давности, в том числе сообщения заблокированных и удаленных аккаунтов за 2016 год.
Сайни говорит, что это скорее «функциональная ошибка», чем недостаток безопасности. И мало вероятно, что этот баг позволяет любому «явному обходу» механизмов Twitter получить доступ к заблокированным или деактивированным учетным записям. Тем не менее, это вопрос приватности, и яркое напоминание того, что удалить не всегда на самом деле значит удалить.
Это может поставить под угрозу пользователей с высоким уровнем риска, таких как журналисты и активисты, если в спорной ситуации их данные запросят правоохранительные органы.
Представитель Twitter заявил, что компания «изучает этот вопрос, чтобы убедиться, что мы рассмотрели весь объем проблемы».