企業

Account Activity API(AAAPI)のバグについて

投稿者
金曜日, 2018年9月21日金曜日

先日、開発者の皆さんに一部のデータが故意に共有される可能性があるという、Account Activity API に関するバグについて報告をしました。現在、引き続き行い、影響を及ぼす可能性のあるすべての開発者の皆さんにメールにてご連絡いたしました。影響のある開発者の皆さんには、さらに詳細をお伝えしする予定です。現在、私たちの調査によってこの問題が起こりうる技術的な問題は把握しています。

Account Activity APIの機能より、Twitterを通して誤ったデータが開発者の皆さんのwebhook URLに送られた可能性があります。

通常、本APIは、「サブスクリプション」がアクティブであるAccount Activity APIを使用する開発者にデータを送信いたします。

私たちは、以下のような技術的環境が同時に起きる場合にこのバグが発生する可能性があることを確認しています。

  • 2またはそれ以上の開発者が、同一のパブリックがIPの割り当てられたドメインを設定している場合、もしくはアクティブなAccount Activity API サブスクリプションを設定している場合。
  • アクティブなサブスクリプションの場合、URLパス(ドメインの後)が、開発者と正確に符合しなければならない場合。

--例 https://example.com/[webhooks/twitter] 及びhttps://anotherexample.com/[webhooks/ twitter ]

  • サブスクリプションしている開発者が、サブスクリプションに関連する行動を同じ6分の間に行った場合。(キャッシュのような動作)
  • 開発者のサブスクライバーの行動がTwitterデータセンターの中の同じバックエンドサーバーに由来している場合。

このような状況下で、バグが起こった場合、この問題(故意な行動 webhook URLへの送信)は、以下の条件を満たすまで継続する可能性があります。

  • 最大2週間、または、
  • 6分間関連アクティビティが行われなくなるまで、または、
  • データが誤送信された開発者のIPアドレスが変更されるまで

TwitterはこのAPIを最大限にご活用いただいている顧客およびパートナーと協力し、彼らに影響が及んだかどうかを調べるようにしてまいりました。これまでの作業とパートナーから提供された情報を通じ、調査を完了したいずれのパートナーや顧客にも、バグが影響を与えていないことを確認できております。今後の調査では、影響を受けている可能性のある残りの企業パートナーのレビューを含めて調査を続けてまいります。

もし、この問題の関連期間(AAAPIにアクセスした日から2018年9月10日までの間)にAccount Activity API(AAAPI)を利用した開発者の場合、上記の情報が、この問題がご自身のサービスに影響を与えているかどうかを評価するのに役立つことを期待します。この問題は現在も調査中です。今後も重要な追加の技術的なアップデートがあり次第、お知らせいたします。

 

このツイートは閲覧できません
このツイートは閲覧できません.