Aplikace využívá API v2 služby X.com (Twitter) pro přihlašování uživatelů pomocí OAuth2. Žádá o práva users.read a tweet.read. Na základě těchto
oprávnění získává veřejně dostupné informace o uživateli. Pomocí API žádá o tyto údaje:
profile_image_url
url
username
description
location
name
Aplikace v žádném případě za uživatele nic neposílá, netweetuje, nesleduje, neodpovídá na zprávy ani nečte zprávy. Stejně tak si neukládá ani autorizační tokeny, které by mohly být
zneužity k přihlášení se za uživatele. Důvod, proč je vyžadováno přihlášení přes Twitter je ten, aby zprávy a potenciálně citlivé vzkazy byly doručeny jen oprávněnému
příjemci. Výše uvedené údaje jsou použity k zobrazení "karty uživatele" v seznamech favoritů a kontaktů, kde se zobrazuje jméno, odkaz na profil, veřejná profilová
fotka a popisek.
Aplikace nezískává uživatelské heslo k Twitteru, ani jiné citlivé informace. Přihlašovací údaje jsou zpracovány pouze na straně Twitteru a TwiCrush je o nich informován
pouze prostřednictvím standardizovaného bezpečného protokolu OAuth.
Při přihlašování přes Android z odkazu na Twitteru v aplikaci se stává, že se neprovede přesměrování na přihlašovací stránku Twitteru, ale otevře se opět aplikace. Jde o
důsledek chyby v aplikaci Twitteru, která se projevuje od roku 2022. Řešení je buď zakázat otevírání odkazů v aplikaci Twitter, nebo otevřít TwiCrush v prohlížeči. Pro zjednodušení
přístupu v takovém případě TwiCrush používá starou verzi přihlašování OAuth, která tento problém nemá. Bohužel ve starém přihlašování je granularita oprávnění nižší a uživatelé
mohou mít obavy z toho, že dávají TwiCrush přístup k čtení tweetů. I zde platí, že aplikace žádá a ukládá pouze výše uvedené veřejně dostupné informace o uživateli.
Data jsou ukládána do samostatné instance databáze, s níž může komunikovat pouze oprávněný server.
TwiCrush je provozován na serveru, umístěném v EU (Německo / Hetzner). Samotná aplikace běží v Docker kontejneru, který je pravidelně aktualizován a monitorován. Veškerá komunikace
se serverem probíhá pomocí šifrovaného spojení (https), a to end-to-end.
Provozovatel ve vlastním zájmu vynakládá veškeré úsilí, aby byla zajištěna bezpečnost osobních údajů. K tomu patří pravidelné aktualizace, zálohování a monitorování serveru.