查看原文
其他

推特警告称开发者 API 密钥或遭泄露

Catalin Cimapnu 代码卫士 2022-06-21
 聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
推特正在通知开发人员称,他们的账户或遭因 developer.twitter.com 网站发送给用户浏览器不正确指令而引发的安全事件影响。


Developer.twitter.com网站供开发人员管理 Twitter app 和 API 密钥以及Twitter 账户的访问令牌和密钥。
Twitter 向开发人员发送邮件指出,developer.twitter.com网站告知浏览器创建并将 API 密钥副本、账户访问令牌和账户密钥存储在缓存中,以便在用户再次访问该网站时,提高页面加载速度。
虽然对于使用自己的浏览器的开发人员而言,这或许并不构成问题,但 Twitter 警告可能使用公共或共享计算机访问developer.twitter.com 网站的开发人员称,他们的 API 密钥很可能存储在这些浏览器中。
Twitter 表示,“在你访问网站后的短暂时间范围内,如果有人使用了同样的计算机且知道如何访问浏览器的缓存以及查找位置,那么他们就能访问你查看过的密钥和令牌。具体内容根据你所访问的网页和查看的内容决定,如 app 的消费者 API 密钥以及用户访问令牌和 Twitter 账户的机密信息。”
Twitter 更改了用户访问developer.twitter.com 门户网站时被缓存的内容,修复了这个问题。另外该公司还指出,目前未发现以这种方式遭泄露的 API 密钥案例,因为攻击者必须了解该 bug,而且能够访问开发者的浏览器以提取密钥和令牌。
尽管如此,出于安全考虑,Twitter 决定将此事告知开发人员。
Shutterstock 公司的应用安全工程师 John Jackson表示,“我认为 Twitter 将此事告知开发人员是正确的。虽然我确信他们将面临关于安全方面的审查和透明度问题,但遭日常利用的可能性较低。我很好奇 Twitter 缓存的其它敏感信息是什么,因为这并非 Twitter 第一次这么干。”他指的是4月份发生的一起类似事件,当时该公司表示某些以直接消息形式发送的私密文件可能仍然存在于火狐浏览器的浏览器缓存中。

 



推荐阅读
无法检测的新型 Linux 恶意软件利用 Dogecoin API 攻击 Docker 服务器
因严重缺陷,Rust 撤销所有 Crates 包的 API 令牌
推特称攻击者利用其 API 匹配用户名和电话号码



原文链接

https://www.zdnet.com/article/twitter-warns-of-possible-api-keys-leak/


题图:Pixabay License



本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。


奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存