Twitter предупредила о потенциальной утечке ключей API

утечка данных уязвимость Twitter API браузер
Twitter предупредила о потенциальной утечке ключей API
утечка данных уязвимость Twitter API браузер

Портал developer.twitter.com давал браузерам инструкции создавать и сохранять в кэше копии ключей API и токенов доступа.

Компания Twitter предупредила разработчиков об инциденте безопасности, который мог затронуть их учетные записи. Причиной инцидента послужили некорректные инструкции, отправляемые сайтом developer.twitter.com браузерам пользователей.

Сайт developer.twitter.com представляет собой портал, где разработчики могут управлять своими приложениями для Twitter и ключами API, а также получать доступ к токенам и закрытым ключам для своих учетных записей Twitter.

Как сообщается в разосланных разработчикам уведомлениях, developer.twitter.com давал браузерам инструкции создавать и сохранять в кэше копии ключей API, токенов доступа к учетным записям и закрытых ключей. Сохранение данных в кэше позволяет браузеру ускорить процесс загрузки страницы, когда пользователь повторно заходит на сайт.

Для разработчиков, использующих собственные браузеры, это не является проблемой. Тем не менее, разработчики, использующие для доступа к developer.twitter.com чужие или общие компьютеры, могут быть под угрозой, так как в этом случае их ключи API могут быть доступны посторонним.

«Если кто-то, работавший на компьютере вскоре после вас, знал, как получить доступ к кэшу браузера и знал, что искать, существует вероятность, что он мог получить доступ к просматриваемым вами ключам и токенам. В зависимости от того, какие страницы вы посещали и какую информацию искали, это могут быть ключи API приложений ваших клиентов, а также токены доступа и закрытые ключи для вашей собственной учетной записи Twitter», - сообщается в уведомлении Twitter.

Компания исправила проблему, указав в инструкциях браузеру, какой контент сохранять в кэше при посещении пользователем сайта developer.twitter.com.

Согласно уведомлению, утечки каких-либо ключей API зафиксированы не были, поскольку для этого должны быть соблюдены два условия. Во-первых, злоумышленники должны были знать о данной проблеме, а во-вторых, у них должен быть доступ к браузеру разработчика. Тем не менее, компания посчитала необходимым уведомить разработчиков о потенциальной угрозе.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

Новости по теме

Полиция задержала группу хакеров, обвиняемых в краже данных у ведущей IT-компании

За кулисами кибербезопасности: что скрывают Fortinet, JetBrains и Microsoft?

BatBadBut: ошибка в Rust позволяет захватить компьютер без вашего ведома

Брешь в YubiKey Manager или как Microsoft Edge спасает пользователей от взлома

Сотрудники Microsoft раскрыли внутренние пароли компании

Ваш Intel в безопасности? Microsoft подсказывает, как защититься от уязвимости Spectre

Telegram устранил 0day, используемый для удаленного запуска кода

Взлом Sisense: данные крупнейших компаний США оказались в руках хакеров

«Утекли ли Ваши данные? Проверьте!» - новый сервис от НКЦКИ для проверки утечек