Миллионы учетных записей Twitter могут быть подвержены риску атаки из-за этих недостатков безопасности.
3 августа 2022 г.Ключи Twitter API утекают из тысяч приложений, что дает злоумышленникам возможность полностью завладеть этими учетными записями и использовать их для кража личных данных или другие виды кибермошенничества.
Эти данные предоставлены экспертами по кибербезопасности CloudSEK, которые обнаружили в общей сложности 3207 мобильных приложений с утечкой действительных ключей потребителей, а также секретов потребителей для Twitter API.
Различные мобильные приложения предлагают интеграцию с Twitter, позволяя этим приложениям выполнять определенные действия вместо пользователей. Интеграция осуществляется через Twitter API и с помощью Consumer Keys and Secrets. Утечка данных такого типа позволяет приложениям потенциально позволять злоумышленникам публиковать сообщения в Твиттере, отправлять и читать прямые сообщения и т. д. Теоретически, объясняет CloudSEK, злоумышленник может собрать «армию» Twitter конечных точек< /a> которые будут продвигать мошенническую или вредоносную кампанию посредством твитов, ретвитов, обращения через личные сообщения и т. д.
миллионы загрузок
Исследователи заявили, что речь идет о приложениях для электронного банкинга, городского транспорта, радиотюнеров и т. п., каждое из которых скачали от 50 000 до 5 миллионов раз.
Другими словами, миллионы учетных записей Twitter, скорее всего, находятся под угрозой.
Все владельцы приложений были уведомлены, но большинство из них даже не подтвердили получение уведомлений, не говоря уже о решении проблемы. Сообщается, что Ford Motors — одна из компаний, которая быстро устранила проблему в своем приложении Ford Events.
Пока другие приложения не исправят проблему, список приложений не будет обнародован.
Утечки API, добавили исследователи, обычно являются результатом ошибок в разработке приложений. Иногда разработчики встраивают ключи аутентификации в Twitter API, а потом забывают их удалить.
Чтобы предотвратить такие утечки, CloudSEK рекомендует разработчикам использовать ротацию ключей API, которая через некоторое время сделает открытые ключи недействительными.
- Вот бесплатные и платные варианты лучшего брандмауэра, которые помогут вам оставаться в безопасности. онлайн
Через: BleepingComputer
Оригинал