Twitter предупредила о потенциальной утечке ключей API
28/09/20
Компания Twitter предупредила разработчиков об инциденте безопасности, который мог затронуть их учетные записи. Причиной инцидента послужили некорректные инструкции, отправляемые сайтом developer.twitter.com браузерам пользователей.
Сайт developer.twitter.com представляет собой портал, где разработчики могут управлять своими приложениями для Twitter и ключами API, а также получать доступ к токенам и закрытым ключам для своих учетных записей Twitter.
Как сообщается в разосланных разработчикам уведомлениях, developer.twitter.com давал браузерам инструкции создавать и сохранять в кэше копии ключей API, токенов доступа к учетным записям и закрытых ключей. Сохранение данных в кэше позволяет браузеру ускорить процесс загрузки страницы, когда пользователь повторно заходит на сайт.
Для разработчиков, использующих собственные браузеры, это не является проблемой. Тем не менее, разработчики, использующие для доступа к developer.twitter.com чужие или общие компьютеры, могут быть под угрозой, так как в этом случае их ключи API могут быть доступны посторонним.
«Если кто-то, работавший на компьютере вскоре после вас, знал, как получить доступ к кэшу браузера и знал, что искать, существует вероятность, что он мог получить доступ к просматриваемым вами ключам и токенам. В зависимости от того, какие страницы вы посещали и какую информацию искали, это могут быть ключи API приложений ваших клиентов, а также токены доступа и закрытые ключи для вашей собственной учетной записи Twitter», - сообщается в уведомлении Twitter.
Компания исправила проблему, указав в инструкциях браузеру, какой контент сохранять в кэше при посещении пользователем сайта developer.twitter.com.
Согласно уведомлению, утечки каких-либо ключей API зафиксированы не были, поскольку для этого должны быть соблюдены два условия. Во-первых, злоумышленники должны были знать о данной проблеме, а во-вторых, у них должен быть доступ к браузеру разработчика. Тем не менее, компания посчитала необходимым уведомить разработчиков о потенциальной угрозе.