Odstranění zprávy nemusí vést k odstranění, ukazuje případ Twitteru

19. 2. 2019

Sdílet

Bezpečnostní výzkumník odhalil, že je možné získat své smazané zprávy. Tím dokázal, že je Twitter uchovává. Týká se to rovněž zpráv odstavených účtů.

Co je smazané, mělo by být smazané. Určitá logika za tím je, ale z různých důvodů bývají společnostmi některá naše data po určitou dobu ukládána. Někdy to vyžaduje zákon, jindy důvod tak zjevný není. Bezpečnostní výzkumník Karan Saini zjistil, že Twitter uchovává i staré soukromé zprávy, a to i ty spojené s účty, jež byly ze sociální sítě dávno odstraněny. Informuje o tom magazín TechCrunch.

Saini si jednoduše vyžádal archiv s daty, které se ho týkají a jsou v Twitteru uložené. Dnes už soukromé zprávy zcela mazat nelze – dříve platforma poskytovala funkci, se kterou jste sdělení mohli odstranit jak ze své, tak ze schránky příjemce či příjemkyně. Dnes lze zprávy smazat jen na své straně. I tak by ale člověk právem očekával, že na tomto konci přijímače odstraněny skutečně budou. Nové odhalení říká, že to tak není.

Podle výzkumníka byla až teď odhalena ještě druhá chyba, jež umožňovala staré „smazané“ zprávy obnovovat. Bylo to možné skrze již nepodporované API. Tímto způsobem prý není možné získat zprávy z pozastavených účtů, nýbrž jen vlastní smazané zprávy. Dle politiky soukromí Twitteru by zprávy zablokovaných a následně odstraněných účtu měly být i s účtem smazány do 30 dní. Logy mohou být uchovávány po dobu až 18 měsíců.

bitcoin_skoleni

Odstraněná zpráva nemusí být smazána

TechCrunch ale dokázal, že se v archivu nachází i zprávy starší. Podle Sainiho se přítomnost smazaných zpráv v archivu dat nedá považovat za bezpečnostní chybu, spíše jde o funkční chybu. Zjištění nepovažuji za bezcenná, protože nám mohou pomoci zamyslet se nad kontrolou dat ve vzdálených serverech. Odstranění zprávy může být pouze zdánlivé – nikdy není zřejmé, co provozovatel služby reálně schovává v archivu.

Proti pochybným ukládacím praktikám je ovšem namířená evropská směrnice GDPR. Twitter zjištěný stav prověřuje. Praktika by mohla odporovat GDPR, které by Twitter porušovat nechtěl, hrozily by mu za to nemalé pokuty. Jestli si myslí, že je odstraněním zprávy či účtu odvolán souhlas pro uchování soukromé zprávy, Twitter komentovat nechtěl.