Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Ключи API Twitter утекают более чем из 3200 мобильных приложений

3
1 мин
Эксперты по кибербезопасности из компании CloudSEK обнаружили более 3,2 тыс. мобильных приложений, из которых утекают ключи Twitter API, что потенциально позволяет киберпреступникам завладеть учетными записями пользователей социальной сети, сообщает издание Bleeping Computer. Компания CloudSEK изучила большие наборы приложений на предмет потенциальных утечек данных и обнаружила 3207 утечек действующего ключа пользователя для Twitter API. Уточняется, что при интеграции мобильных приложений с Twitter разработчикам предоставляются специальные ключи аутентификации или токены, позволяющие их приложениям взаимодействовать с API Twitter. Если пользователь связывает свою учетную запись Twitter с конкретным мобильным приложением, ключи позволяют программе действовать от имени пользователя, например, входить в систему через Twitter, создавать твиты и т. д. «Поскольку доступ к этим ключам аутентификации может позволить любому выполнять действия в качестве связанных пользователей Twitter, никогда

Эксперты по кибербезопасности из компании CloudSEK обнаружили более 3,2 тыс. мобильных приложений, из которых утекают ключи Twitter API, что потенциально позволяет киберпреступникам завладеть учетными записями пользователей социальной сети, сообщает издание Bleeping Computer.

Изображение: freestocks (unsplash)
Изображение: freestocks (unsplash)

Компания CloudSEK изучила большие наборы приложений на предмет потенциальных утечек данных и обнаружила 3207 утечек действующего ключа пользователя для Twitter API.

Уточняется, что при интеграции мобильных приложений с Twitter разработчикам предоставляются специальные ключи аутентификации или токены, позволяющие их приложениям взаимодействовать с API Twitter. Если пользователь связывает свою учетную запись Twitter с конкретным мобильным приложением, ключи позволяют программе действовать от имени пользователя, например, входить в систему через Twitter, создавать твиты и т. д.

«Поскольку доступ к этим ключам аутентификации может позволить любому выполнять действия в качестве связанных пользователей Twitter, никогда не рекомендуется хранить ключи непосредственно в мобильном приложении, где злоумышленники могут их найти», – подчеркнули в компании CloudSEK.

Эксперты компании CloudSEK объяснили, что утечка ключей API обычно проявляется из-за ошибок разработчиков приложений, которые встраивают свои ключи аутентификации в API Twitter, но забывают удалить их.

По информации CloudSEK, одним из наиболее известных сценариев злоупотребления этим доступом может быть использование киберпреступниками открытых токенов для создания в Twitter армии ботов из проверенных учетных записей с большим количеством подписчиков для продвижения фейковых новостей и кампаний по распространению вредоносного ПО. , мошенничество с криптовалютой и т. д.

Ранее сообщалось, что неизвестный хакер продаёт в даркнете персональные данные 5,4 млн. пользователей Twitter. Согласно заявлению продавца, база данных включает в себя адреса электронной почты и телефонные номера пользователей социальной сети. Стоимость файла – 30 000 долларов.

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.

Технологии в финансах
65 тыс интересуются