Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Twitter предупредила о потенциальной утечке ключей API

28/09/20

Twitter spies-1Компания Twitter предупредила разработчиков об инциденте безопасности, который мог затронуть их учетные записи. Причиной инцидента послужили некорректные инструкции, отправляемые сайтом developer.twitter.com браузерам пользователей.

Сайт developer.twitter.com представляет собой портал, где разработчики могут управлять своими приложениями для Twitter и ключами API, а также получать доступ к токенам и закрытым ключам для своих учетных записей Twitter.

Как сообщается в разосланных разработчикам уведомлениях, developer.twitter.com давал браузерам инструкции создавать и сохранять в кэше копии ключей API, токенов доступа к учетным записям и закрытых ключей. Сохранение данных в кэше позволяет браузеру ускорить процесс загрузки страницы, когда пользователь повторно заходит на сайт.

Для разработчиков, использующих собственные браузеры, это не является проблемой. Тем не менее, разработчики, использующие для доступа к developer.twitter.com чужие или общие компьютеры, могут быть под угрозой, так как в этом случае их ключи API могут быть доступны посторонним.

«Если кто-то, работавший на компьютере вскоре после вас, знал, как получить доступ к кэшу браузера и знал, что искать, существует вероятность, что он мог получить доступ к просматриваемым вами ключам и токенам. В зависимости от того, какие страницы вы посещали и какую информацию искали, это могут быть ключи API приложений ваших клиентов, а также токены доступа и закрытые ключи для вашей собственной учетной записи Twitter», - сообщается в уведомлении Twitter.

Компания исправила проблему, указав в инструкциях браузеру, какой контент сохранять в кэше при посещении пользователем сайта developer.twitter.com.

Согласно уведомлению, утечки каких-либо ключей API зафиксированы не были, поскольку для этого должны быть соблюдены два условия. Во-первых, злоумышленники должны были знать о данной проблеме, а во-вторых, у них должен быть доступ к браузеру разработчика. Тем не менее, компания посчитала необходимым уведомить разработчиков о потенциальной угрозе.

Темы:TwitterПреступленияAPI
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...