Clés Api Twitter

Les chercheurs ont découvert une liste de 3 207 applications, dont certaines peuvent être utilisées pour obtenir un accès non autorisé aux comptes Twitter.

La prise de contrôle est rendue possible grâce à une fuite d’informations légitimes sur la clé du consommateur et le secret du consommateur, respectivement, société de cybersécurité basée à Singapour CloudSEK a déclaré dans un rapport exclusivement partagé avec The Hacker News.

« Sur 3 207, 230 applications fuient les quatre identifiants d’authentification et peuvent être utilisées pour prendre entièrement en charge leurs comptes Twitter et peuvent effectuer toutes les actions critiques/sensibles », ont déclaré les chercheurs.

La Cyber-Sécurité

Cela peut aller de la lecture de messages directs à la réalisation d’actions arbitraires telles que retweeter, aimer et supprimer des tweets, suivre n’importe quel compte, supprimer des abonnés, accéder aux paramètres du compte et même modifier l’image de profil du compte.

Accès à l’API Twitter a besoin générer les clés et les jetons d’accès, qui agissent comme noms d’utilisateur et mots de passe pour les applications ainsi que les utilisateurs au nom desquels les demandes d’API seront effectuées.

Publicité

Un acteur malveillant en possession de ces informations peut donc créer une armée de bots Twitter qui pourrait être potentiellement exploitée pour diffuser de la més/désinformation sur la plate-forme de médias sociaux.

« Lorsque plusieurs prises de contrôle de compte peuvent être utilisées pour chanter le même air en tandem, cela ne fait que réitérer le message qui doit être déboursé », ont noté les chercheurs.

La Cyber-Sécurité

De plus, dans un scénario hypothétique expliqué par CloudSEK, les clés API et les jetons récoltés à partir des applications mobiles peuvent être intégrés dans un programme pour exécuter des campagnes de logiciels malveillants à grande échelle via des comptes vérifiés pour cibler leurs abonnés.

Ajouté à l’inquiétude, il convient de noter que la fuite de clé ne se limite pas aux seules API Twitter. Dans le passé, les chercheurs de CloudSEK ont découvert les clés secrètes des comptes GitHub, AWS, HubSpot et Razorpay à partir d’applications mobiles non protégées.

Pour atténuer de telles attaques, il est recommandé de revoir le code des clés d’API directement codées en dur, tout en alternant périodiquement les clés pour aider à réduire les risques probables encourus en cas de fuite.

« Les variables dans un environnement sont des moyens alternatifs de se référer aux clés et de les déguiser en plus de ne pas les intégrer dans le fichier source », ont déclaré les chercheurs.

« Les variables permettent de gagner du temps et d’augmenter la sécurité. Des précautions adéquates doivent être prises pour s’assurer que les fichiers contenant des variables d’environnement dans le code source ne sont pas inclus. »


Rate this post
Publicité
Article précédentLes dernières cartes graphiques Nvidia et AMD sont désormais de 9 à 14 % sous le PDSF en Europe
Article suivantSoyez silencieux! Test du Pure Loop 2 FX 280 AIO
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici