Миллионы учетных записей Twitter могут быть подвержены риску атаки из-за этих недостатков безопасности.

Миллионы учетных записей Twitter могут быть подвержены риску атаки из-за этих недостатков безопасности.

3 августа 2022 г.

Ключи Twitter API утекают из тысяч приложений, что дает злоумышленникам возможность полностью завладеть этими учетными записями и использовать их для кража личных данных или другие виды кибермошенничества.

Эти данные предоставлены экспертами по кибербезопасности CloudSEK, которые обнаружили в общей сложности 3207 мобильных приложений с утечкой действительных ключей потребителей, а также секретов потребителей для Twitter API.

Различные мобильные приложения предлагают интеграцию с Twitter, позволяя этим приложениям выполнять определенные действия вместо пользователей. Интеграция осуществляется через Twitter API и с помощью Consumer Keys and Secrets. Утечка данных такого типа позволяет приложениям потенциально позволять злоумышленникам публиковать сообщения в Твиттере, отправлять и читать прямые сообщения и т. д. Теоретически, объясняет CloudSEK, злоумышленник может собрать «армию» Twitter конечных точек< /a> которые будут продвигать мошенническую или вредоносную кампанию посредством твитов, ретвитов, обращения через личные сообщения и т. д.

миллионы загрузок

Исследователи заявили, что речь идет о приложениях для электронного банкинга, городского транспорта, радиотюнеров и т. п., каждое из которых скачали от 50 000 до 5 миллионов раз.

Другими словами, миллионы учетных записей Twitter, скорее всего, находятся под угрозой.

Все владельцы приложений были уведомлены, но большинство из них даже не подтвердили получение уведомлений, не говоря уже о решении проблемы. Сообщается, что Ford Motors — одна из компаний, которая быстро устранила проблему в своем приложении Ford Events.

Пока другие приложения не исправят проблему, список приложений не будет обнародован.

Утечки API, добавили исследователи, обычно являются результатом ошибок в разработке приложений. Иногда разработчики встраивают ключи аутентификации в Twitter API, а потом забывают их удалить.

Чтобы предотвратить такие утечки, CloudSEK рекомендует разработчикам использовать ротацию ключей API, которая через некоторое время сделает открытые ключи недействительными.

  • Вот бесплатные и платные варианты лучшего брандмауэра, которые помогут вам оставаться в безопасности. онлайн

Через: BleepingComputer


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE