03.08.2022 | Утечка API-ключей Twitter может быть использована для создания армии ботов |
Исследователи CloudSEK обнаружили, что в 3207 приложениях произошла утечка секретных ключей аутентификации, которые могут быть использованы для получения несанкционированного доступа к учетным записям Twitter. Согласно отчету , 230 приложений пропускают все 4 гранта авторизации и могут быть использованы для полного захвата учетной записи Twitter, позволяя злоумышленнику:
Для доступа к API Twitter необходимо сгенерировать ключ и токен доступа, действующие как имя пользователя и пароль, а также пользователя, от имени которого будут выполняться запросы API. Так киберпреступник может создать «армию» ботов в Twitter, которая может быть использована для распространения дезинформации на платформе. Более того, полученные из мобильных приложений ключи и токены могут быть использованы для запуска крупномасштабных вредоносных кампаний через доверенные учетные записи, нацеленные на их подписчиков. Для смягчения атаки рекомендуется проверять код для жестко запрограммированных API-ключей, а также периодически менять ключи для снижения риска утечки данных. |
Проверить безопасность сайта