Använder du Twitter och tror att alla dina borttagna direktmeddelanden faktiskt är helt borta – då bör du tänka om. Det säger en säkerhetsexpert som nu menar att de faktiskt går att läsa via ett gammalt API.
- Det är inget säkerhetshål – ingen obehörig kan läsa dina meddelanden
- Kan vara ett brott mot GDPR
- Twitter väljer att inte kommentera uppgifterna i skrivande stund
- Google arbetar för högre säkerhet i Play Store
Egentligen borde ingen bli förvånad, men det går inte att läsa om den här nyheten utan att skaka lite på huvudet. Att Twitter sparat alla direktmeddelanden i flera år, trots att användarna raderat dem, är ett slag mot sajtens transparens.
Det handlar inte om någon sårbarhet. Har du ett konto med ett starkt lösenord så är det ingen som kan läsa dina raderade – eller befintliga – direktmeddelanden. Däremot finns de sparade hos Twitter på ett sätt som gör dem åtkomliga för dig och den andre parten.
När du raderar ett direktmeddelande så tar du bara bort det från din sida. Om motparten inte gör något kommer denne fortfarande att se meddelandena som du tagit bort.
Faktum är att även om båda parterna har tagit bort samma direktmeddelande så finns de kvar hos Twitter. Allt som behövs är lite tekniskt kunnande och ett gammalt API som Twitter tillhandahåller. Det noterade säkerhetsforskaren Karan Sainin tidigare i februari.
Twitter förnekar inte uppgifterna från säkerhetsforskaren
Karan Sainin lyckades hämta och läsa fler år gamla direktmeddelanden genom Twitters API. Även meddelanden på avaktiverade eller raderade konton.
Det är lite förvånande eftersom man har en 30-dagars vänteperiod innan data raderas. Efter det ska det inte gå att hämta ut någon data från kontot. Nu är frågan om Twitter bryter mot GDPR-reglerna och om det kommer att kosta företaget något.
Twitter har fått en förfrågan från Karan Sainin om de sparade direktmeddelandena, men de har hittills varit mycket fåordiga om saken. De förnekar inte att meddelanden sparas, men säger bara att de ska kolla närmare på saken.
På frågan om Twitter anser att samtycke till behållning av direktmeddelanden förfaller när ett meddelande eller konto raderas väljer sajten att inte svara alls.