Twitter предупредила о потенциальной утечке ключей API
28 сентября 2020 года
Компания Twitter предупредила разработчиков об инциденте безопасности, который мог затронуть их учетные записи. Причиной инцидента послужили некорректные инструкции, отправляемые сайтом developer.twitter.com браузерам пользователей.
Сайт developer.twitter.com представляет собой портал, где разработчики могут управлять своими приложениями для Twitter и ключами API, а также получать доступ к токенам и закрытым ключам для своих учетных записей Twitter.
Как сообщается в разосланных разработчикам уведомлениях, developer.twitter.com давал браузерам инструкции создавать и сохранять в кэше копии ключей API, токенов доступа к учетным записям и закрытых ключей. Сохранение данных в кэше позволяет браузеру ускорить процесс загрузки страницы, когда пользователь повторно заходит на сайт.
Для разработчиков, использующих собственные браузеры, это не является проблемой. Тем не менее, разработчики, использующие для доступа к developer.twitter.com чужие или общие компьютеры, могут быть под угрозой, так как в этом случае их ключи API могут быть доступны посторонним.
«Если кто-то, работавший на компьютере вскоре после вас, знал, как получить доступ к кэшу браузера и знал, что искать, существует вероятность, что он мог получить доступ к просматриваемым вами ключам и токенам. В зависимости от того, какие страницы вы посещали и какую информацию искали, это могут быть ключи API приложений ваших клиентов, а также токены доступа и закрытые ключи для вашей собственной учетной записи Twitter», - сообщается в уведомлении Twitter.
Компания исправила проблему, указав в инструкциях браузеру, какой контент сохранять в кэше при посещении пользователем сайта developer.twitter.com.
Согласно уведомлению, утечки каких-либо ключей API зафиксированы не были, поскольку для этого должны быть соблюдены два условия. Во-первых, злоумышленники должны были знать о данной проблеме, а во-вторых, у них должен быть доступ к браузеру разработчика. Тем не менее, компания посчитала необходимым уведомить разработчиков о потенциальной угрозе.
Источники править
Эта статья содержит материалы из статьи «Twitter предупредила о потенциальной утечке ключей API», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.