Бесплатно Экспресс-аудит сайта:

03.08.2022

Утечка API-ключей Twitter может быть использована для создания армии ботов

Исследователи CloudSEK обнаружили, что в 3207 приложениях произошла утечка секретных ключей аутентификации, которые могут быть использованы для получения несанкционированного доступа к учетным записям Twitter. Согласно отчету , 230 приложений пропускают все 4 гранта авторизации и могут быть использованы для полного захвата учетной записи Twitter, позволяя злоумышленнику:

  • читать сообщения;
  • делать ретвит;
  • ставить лайки;
  • удалять твиты;
  • подписываться на любую учетную запись;
  • удалять подписчиков;
  • получить доступ к настройкам учетной записи;
  • изменить изображение профиля.

Для доступа к API Twitter необходимо сгенерировать ключ и токен доступа, действующие как имя пользователя и пароль, а также пользователя, от имени которого будут выполняться запросы API.

Так киберпреступник может создать «армию» ботов в Twitter, которая может быть использована для распространения дезинформации на платформе. Более того, полученные из мобильных приложений ключи и токены могут быть использованы для запуска крупномасштабных вредоносных кампаний через доверенные учетные записи, нацеленные на их подписчиков.

Для смягчения атаки рекомендуется проверять код для жестко запрограммированных API-ключей, а также периодически менять ключи для снижения риска утечки данных.