Утечка API-ключей Twitter может быть использована для создания армии ботов

Утечка API-ключей Twitter может быть использована для создания армии ботов

Утечка аутентификационных данных из более 3200 приложений поставила под угрозу миллионы аккаунтов Twitter

image

Исследователи CloudSEK обнаружили, что в 3207 приложениях произошла утечка секретных ключей аутентификации, которые могут быть использованы для получения несанкционированного доступа к учетным записям Twitter. Согласно отчету , 230 приложений пропускают все 4 гранта авторизации и могут быть использованы для полного захвата учетной записи Twitter, позволяя злоумышленнику:

  • читать сообщения;
  • делать ретвит;
  • ставить лайки;
  • удалять твиты;
  • подписываться на любую учетную запись;
  • удалять подписчиков;
  • получить доступ к настройкам учетной записи;
  • изменить изображение профиля.

Для доступа к API Twitter необходимо сгенерировать ключ и токен доступа, действующие как имя пользователя и пароль, а также пользователя, от имени которого будут выполняться запросы API.

Так киберпреступник может создать «армию» ботов в Twitter, которая может быть использована для распространения дезинформации на платформе. Более того, полученные из мобильных приложений ключи и токены могут быть использованы для запуска крупномасштабных вредоносных кампаний через доверенные учетные записи, нацеленные на их подписчиков.

Для смягчения атаки рекомендуется проверять код для жестко запрограммированных API-ключей, а также периодически менять ключи для снижения риска утечки данных.


Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!