Утечка API-ключей Twitter может быть использована для создания армии ботов

Исследователи CloudSEK обнаружили, что в 3207 приложениях произошла утечка секретных ключей аутентификации, которые могут быть использованы для получения несанкционированного доступа к учетным записям Twitter. Согласно отчету , 230 приложений пропускают все 4 гранта авторизации и могут быть использованы для полного захвата учетной записи Twitter, позволяя злоумышленнику:

• читать сообщения;
• делать ретвит;
• ставить лайки;
• удалять твиты;
• подписываться на любую учетную запись;
• удалять подписчиков;
• получить доступ к настройкам учетной записи;
• изменить изображение профиля.

Для доступа к API Twitter необходимо сгенерировать ключ и токен доступа, действующие как имя пользователя и пароль, а также пользователя, от имени которого будут выполняться запросы API.

Так киберпреступник может создать «армию» ботов в Twitter, которая может быть использована для распространения дезинформации на платформе. Более того, полученные из мобильных приложений ключи и токены могут быть использованы для запуска крупномасштабных вредоносных кампаний через доверенные учетные записи, нацеленные на их подписчиков.

Для смягчения атаки рекомендуется проверять код для жестко запрограммированных API-ключей, а также периодически менять ключи для снижения риска утечки данных.