Twitterもようやく 、ユーザーが消えるコンテンツの投稿を試せるソーシャルメディアとなった。TwitterがFleets(フリート)と呼ぶその機能は、モバイルユーザーが写真や動画にテキストを加えて、24時間後に消える短いストーリー(未訳記事)を投稿できるようにする機能だ。
しかし、あるバグによってフリートが適切に削除されず、24時間の期限が切れたあとでも、ずっとアクセス可能になっていた。このバグの詳細は、機能提供開始から1週間も経たない米国時間11月21日に、一連のツイートとして投稿された。
full disclosure: scraping fleets from public accounts without triggering the read notification
the endpoint is: https://t.co/332FH7TEmN
— cathode gay tube (@donk_enby) November 20, 2020
完全開示:開封通知を引き起こすことなく、公共のアカウントからフリートをスクレイピングする方法
エンドポイントは: https://t.co/332FH7TEmN
このバグによって、ユーザーのフリートが読まれたことも、誰によってそれが行われたのかも通知されることなく、誰でもユーザーのフリートにアクセスしダウンロードできることができる。つまり、このバグを悪用することで有効期限が切れた後に、ユーザーのフリートがアーカイブされる可能性があるのだ。
このためには開発者APIを介してTwitterのバックエンドシステムと対話するように設計されたアプリを使用する。返されるのは、サーバからのフリートのリストだ。各フリートには独自のダイレクトURLがあり、それをブラウザで開くと、画像またはビデオとしてフリートがロードされる。しかし、24時間経過した後でも、サーバーはTwitterアプリのビューからすでに消えているへのリンクを返すのだ。
Twitterに対して問い合わせを行ったところ、広報担当者は現在修正中だと回答した。「一部のフリートのメディアURLが、技術的な回避手段を通じて、24時間経過後もアクセスできてしまうバグの存在は認知しています。私たちは修正に取り組んでいて、ほどなく修正版が公開される筈です」。
Twitterは、この修正によってフリートが正しく期限切れになることを認め、それでも個別のフリートは最大30日間はサーバーから削除しないと述べた。さらにあるフリートがルール違反を犯していた場合には、そのフリートをさらに長期間保存するだろうとも語った。私たちも、期限が切れた後でも、まだ直接 URLを使ってフリートを読み込むことができることを確認した。
フリートは慎重に。