Twitter (X) Kullanıcıları, Gizli Verilere Erişim Yöntemlerini Ortaya Çıkardı

Twitter (X) platformunda kullanıcıların kendi hesapları ve başkaları hakkında gizli verilere erişebildiği yeni bir yöntem gündeme geldi. Tarayıcı geliştirici araçlarını kullanan bazı kullanıcılar, platformun resmi API’siyle sağlanmayan birçok içeriğe ulaşılabildiğini ortaya çıkardı.

Tarayıcı Geliştirici Araçlarıyla Verilere Erişilebiliyor

Twitter’ın arka plan hizmetleri, beklenenden daha fazla veriyi istemcilere iletebiliyor. Kullanıcılar, geliştirici araçlarını açarak fetch/XHR ağ isteklerini filtrelediğinde UserByScreenName adlı bir yanıtla karşılaşıyor. Bu yanıt, herhangi bir açık hesaba ait geniş bir veri kümesini içeriyor. Kullanıcılar, bu isteği PowerShell komutu olarak kopyaladığında yetkilendirme ve CSRF belirteçleri otomatik olarak ekleniyor. Bu sayede, ek bir yapılandırma gerektirmeden sorgular çalıştırılabiliyor.

Bu yöntemin ortaya çıkardığı veriler yalnızca standart profil bilgileriyle sınırlı kalmıyor. Hassas meta veriler de erişilebilir hâle geliyor. Bunlar arasında:

• Hesabın NSFW (müstehcen içerik) olarak işaretlenip işaretlenmediği
• Bölgesel kısıtlamalara tabi olup olmadığı
• Korunan (protected) hesap olarak belirlenip belirlenmediği

Özellikle “korunan hesap” statüsünün ne anlama geldiği net değil. Ancak bu durum, hesabın daha yüksek gizlilik ayarlarına sahip olduğunu veya platform içi bir moderasyon sürecine tabi tutulduğunu gösteriyor olabilir.

En dikkat çeken keşiflerden biri, doğrudan mesajlar (DM) üzerinde de benzer bir yöntemin uygulanabilmesi oldu. Kullanıcılar, ağ isteklerini incelediğinde kişisel mesajlarının tam yapısını, okunmamış konuşmaları, tepkileri ve ayrıntılı meta verileri görebildiklerini fark etti.

Daha da endişe verici olan durum, engellenmiş veya silinmiş hesaplarla daha önce yapılan mesajlaşmaların bile hâlâ sistemde erişilebilir olması. Eğer bir hesap, oturum açılmış cihazda daha önce kayıtlıysa, bu verilere ulaşılamadığı düşünülse bile geri getirilebiliyor.

Şu ana kadar doğrudan bir güvenlik açığı keşfedilmiş değil. Ancak platformun istemcilere gönderdiği belgelenmemiş büyük veri akışı, güvenlik uzmanlarını endişelendiriyor. Kullanıcıların API üzerinden erişemediği bilgilerin, geliştirici araçlarıyla ortaya çıkabilmesi veri gizliliği açısından ciddi bir soru işareti yaratıyor.

Konuyla ilgili araştırmalar devam ederken, keşfi yapan kişi, HackerOne hata ödül programı üzerinden olası bir güvenlik açığı tespit edilmesi hâlinde Twitter’a bildireceğini açıkladı. Şimdilik bu bulgular, platformun istemci-sunucu etkileşimine dair önemli bir bakış sunuyor.