Uma lista de 3207 apps que estão expondo chaves de API do Twitter foi levantada por pesquisadores – algumas podem ser utilizadas para ganhar acesso não autorizado às contas de Twitter associadas.
As descobertas foram possíveis devido a um vazamento de informações secretas legítimas de chaves e consumidores, conforme relatório da CloudSEK compartilhado com o portal The Hacker News.
“Dos 3207 apps. 230 estão vazando todas as 4 credenciais de autenticação e podem ser utilizadas para assumir o controle completo das respectivas contas de Twitter, podendo performar quaisquer ações críticas/sensíveis”, afirmam os pesquisadores.
Essas ações podem variar da leitura de mensagens do direct até a realização de retweets, remoção de seguidores, acesso às configurações da conta e alteração da imagem de perfil.
O acesso à API do Twitter requer a geração de chaves secretas e o acesso a tokens, que funcionam como nomes de usuários e senhas para apps, assim como os usuários para os quais as requisições de API serão feitas.
Em posse dessas informações, um hacker pode criar um exército de bots do Twitter com potencial para ser aplicado com o objetivo de espalhar desinformações na mídia social.
-> Para mitigar tais ataques, é recomendado revisar o código para chaves de API com hard code, assim como alterar as senhas periodicamente para reduzir os prováveis riscos de um vazamento.
FONTE/LEIA MAIS: The Hacker News
