Ключи API Twitter утекают из более чем 3200 приложений, некоторые из которых позволяют взламывать учетные записи

 

Исследователи кибербезопасности обнаружили набор из 3207 мобильных приложений, которые раскрывают ключи Twitter API для общественности, что потенциально позволяет злоумышленникам завладеть учетными записями пользователей Twitter, связанными с приложением.

Открытие принадлежит фирме по кибербезопасности CloudSEK, которая тщательно изучила большие наборы приложений на предмет потенциальных утечек данных и обнаружила 3207 утечек действующего ключа потребителя и секрета потребителя для Twitter API.

При интеграции мобильных приложений с Twitter разработчикам будут предоставлены специальные ключи аутентификации или токены, которые позволят их мобильным приложениям взаимодействовать с API Twitter. Когда пользователь связывает свою учетную запись Twitter с этим мобильным приложением, ключи также позволяют приложению действовать от имени пользователя, например, входить в систему через Twitter, создавать твиты, отправлять DM и т. д.

Поскольку доступ к этим ключам аутентификации может позволить любому выполнять действия в качестве связанных пользователей Twitter, никогда не рекомендуется хранить ключи непосредственно в мобильном приложении, где злоумышленники могут их найти.