Cyberbezpieczeństwo
Wyciek kluczy API Twittera. Pozwala przejmować konta
Ponad 3200 aplikacji ma błędy, które pozwalają na wyciek kluczy interfejsu programistycznego (API) Twittera. W niektórych przypadkach można przez to przejąć konta użytkowników serwisu, jeśli wcześniej zostały powiązane z wadliwym programem.
O błędach w oprogramowaniu poinformowała firma z branży cyberbezpieczeństwa CloudSEK, która przeanalizowała ponad 3200 aplikacji pod kątem potencjalnych wycieków danych.
Jak się okazało, oprogramowanie istotnie „wycieka" dane, w tym wypadku klucze API Twittera – Consumer Key i Consumer Secret, pozwalające na uwierzytelnienie dostępu aplikacji do konta na Twitterze użytkownika.
Klucze są wykorzystywane przez oprogramowanie, które działa w oparciu o integrację z Twitterem – użycie kluczy pozwala aplikacjom na interakcje z serwisem społecznościowym, takie jak logowanie się z jego użyciem, a także wysyłanie tweetów czy wiadomości prywatnych.
Dlaczego wyciek kluczy API jest niebezpieczny?
Przede wszystkim dlatego, że pozwala każdemu na wykonywanie w imieniu użytkownika Twittera działań, nad którymi właściciele kont w tym serwisie nie mają żadnej kontroli – np. wysyłanie wiadomości dowolnej treści, odczytywanie korespondencji prywatnej, pisanie tweetów, modyfikacja ustawień konta, a także zmiana danych identyfikacyjnych w serwisie.
Zdaniem CloudSEK, najbardziej niebezbiecznym scenariuszem jest jednak ten, w którym potencjalni atakujący mogą wykorzystać API do przejęcia dużej liczby wiarygodnych (bo prawdziwych!) kont użytkowników, zmiany ich danych do logowania oraz wykorzystania ich dalej np. jako armii botów rozsiewających dezinformację czy wiadomości promujące oszustwa kryptowalutowe.
Kogo dotyczy wyciek API?
Serwis Bleeping Computer podaje, że problem dotyka użytkowników aplikacji pobieranych od 50 tys. razy do nawet 5 mln razy. To m.in. oprogramowanie przewoźników komunikacji publicznej w różnych krajach, firm transportowych, aplikacji radiowych, czytników ebooków, aplikacji bankowych, jak i programów do nawigacji GPS dla rowerzystów.
Większość twórców oprogramowania, z którymi skontaktowała się spółka CloudSEK, nie odpowiedziała na jej informacje o problemie i nie rozwiązała kłopotów z API. W związku z tym, serwis Bleeping Computer zadecydował natomiast, że nie upubliczni nazw konkretnych programów w obawie o wykorzystanie ich błędów przez potencjalnych sprawców.
To nie jedyne kłopoty Twittera
Wcześniej w naszym serwisie pisaliśmy o groźnym wycieku danych, który dotyczy ponad 5 mln kont - dane z nimi powiązane, takie jak numery telefonów czy adresy e-mail, można kupić w sieci za 30 tys. dolarów.
Ich kradzież z serwisu była możliwa dzięki poważnej luce bezpieczeństwa platformy.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
