Сайт developer.twitter.com представляет собой портал, где разработчики могут управлять своими приложениями для Twitter и ключами API, а также получать доступ к токенам и закрытым ключам для своих учетных записей Twitter.
Как сообщается в разосланных разработчикам уведомлениях, developer.twitter.com давал браузерам инструкции создавать и сохранять в кэше копии ключей API, токенов доступа к учетным записям и закрытых ключей. Сохранение данных в кэше позволяет браузеру ускорить процесс загрузки страницы, когда пользователь повторно заходит на сайт.
Для разработчиков, использующих собственные браузеры, это не является проблемой. Тем не менее, разработчики, использующие для доступа к developer.twitter.com чужие или общие компьютеры, могут быть под угрозой, так как в этом случае их ключи API могут быть доступны посторонним.
«Если кто-то, работавший на компьютере вскоре после вас, знал, как получить доступ к кэшу браузера и знал, что искать, существует вероятность, что он мог получить доступ к просматриваемым вами ключам и токенам. В зависимости от того, какие страницы вы посещали и какую информацию искали, это могут быть ключи API приложений ваших клиентов, а также токены доступа и закрытые ключи для вашей собственной учетной записи Twitter», - сообщается в уведомлении Twitter.
Компания исправила проблему, указав в инструкциях браузеру, какой контент сохранять в кэше при посещении пользователем сайта developer.twitter.com.
Согласно уведомлению, утечки каких-либо ключей API зафиксированы не были, поскольку для этого должны быть соблюдены два условия. Во-первых, злоумышленники должны были знать о данной проблеме, а во-вторых, у них должен быть доступ к браузеру разработчика. Тем не менее, компания посчитала необходимым уведомить разработчиков о потенциальной угрозе.