Twitter cảnh báo về nguy cơ rò rỉ khóa API

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:3333, 26/09/20, 11:09 AM.

  1. WhiteHat News #ID:3333

    WhiteHat News #ID:3333 WhiteHat Support

    Tham gia: 04/06/14, 02:06 PM
    Bài viết: 311
    Đã được thích: 32
    Điểm thành tích:
    48
    Twitter hôm nay thông báo cho các nhà phát triển về một sự cố bảo mật có thể đã ảnh hưởng đến các tài khoản Twtter.
    Sự cố xảy ra là do các hướng dẫn không chính xác được đăng tải trên trang developer.twitter.com.
    developer.twitter.com là cổng thông tin nơi các nhà phát triển quản lý ứng dụng Twitter của mình và các khóa API đính kèm, cũng như mã thông báo truy cập và khóa bí mật cho tài khoản Twitter.
    Trong một email gửi đến các nhà phát triển ngày hôm nay, Twitter cho biết trang web developer.twitter.com đã yêu cầu các trình duyệt tạo và lưu trữ các bản sao của khóa API, mã thông báo truy cập tài khoản và tài khoản mật bên trong bộ nhớ cache.
    [​IMG]
    Đây có thể không phải là vấn đề đối với các nhà phát triển sử dụng trình duyệt của riêng họ, nhưng Twitter đang cảnh báo các nhà phát triển có thể đã sử dụng máy tính công cộng để truy cập trang web developer.twitter.com - trong trường hợp đó, các khóa API của họ bây giờ rất có thể đang được lưu trữ trong các trình duyệt.
    Twitter cho biết: "Nếu ai đó đã sử dụng cùng một máy tính ngay sau bạn biết cách truy cập bộ nhớ cache của trình duyệt và biết những gì cần tìm, thì rất có thể họ đã truy cập vào các khóa và mã thông báo mà bạn đã xem".
    Twitter cho biết: "Tùy thuộc vào những trang bạn đã truy cập và thông tin bạn đã xem, các thông tin bị rò rỉ có thể bao gồm các khóa API người dùng ứng dụng, cũng như mã thông báo truy cập người dùng và tài khoản Twitter mật của riêng bạn".
    Twitter cho biết hãng đã khắc phục sự cố bằng cách thay đổi nội dung được lưu vào bộ nhớ cache khi người dùng truy cập vào cổng developer.twitter.com.
    Mạng xã hội này cũng cho biết chưa có dấu hiệu về việc rò rỉ bất kỳ khóa API nào theo cách này, vì kẻ tấn công phải (1) biết về lỗi và (2) có quyền truy cập vào trình duyệt của nhà phát triển để trích xuất khóa và mã thông báo.
    Tuy nhiên, Twitter đã quyết định thông báo cho các nhà phát triển để đảm bảo an toàn.

    Theo: ZDNet
     

    Các file đính kèm:

    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan