Le bogue Twitter peut avoir exposé des clés API, des jetons d’accès

Twitter a averti les développeurs qu’un bogue aurait pu exposer leurs clés API et leurs jetons d’accès dans le cache de leur navigateur.

La plate-forme de médias sociaux a déclaré aux développeurs qu’elle ne croyait pas que les applications et les jetons avaient été compromis et que le problème avait été résolu. “Avant le correctif, si vous utilisiez un ordinateur public ou partagé pour afficher les clés et les jetons de votre application de développeur sur developer.twitter[.]com, ils peuvent avoir été temporairement stockés dans le cache du navigateur sur cet ordinateur », Twitter a écrit. Quelqu’un utilisant le même ordinateur juste après le développeur qui «savait comment accéder au cache d’un navigateur» et «ce qu’il faut rechercher», peut-être «aurait pu accéder aux clés et aux jetons» que le développeur a consultés.

«Alors que des centaines de milliards de dollars en affaires en ligne dépendent des API pour fonctionner correctement, cette omniprésence croissante fait des API une cible juteuse pour les pirates malveillants qui tentent d’exploiter les faiblesses de ces points de connexion», a déclaré Ameet Naik, évangéliste de la sécurité chez PerimeterX. «Les clés et les jetons de sécurité qui fuient se dirigent vers le Dark Web et sont utilisés dans des attaques automatisées contre les points de terminaison d’API.»

Les recherches de PerimeterX montrent que sur de nombreux sites Web et applications, «plus de 75% des demandes de connexion provenant des points de terminaison d’API sont malveillantes». Les attaques API sont non seulement plus faciles et plus économiques à exécuter, mais elles sont «plus difficiles à détecter que les anciennes attaques de botnet basées sur un navigateur», a déclaré Naik, exhortant les développeurs à «prendre des mesures pour garantir que les clés API et les jetons de sécurité sont correctement protégés à l’aide de coffres-forts de clés. . »

Twitter a déclaré avoir modifié les instructions de mise en cache que le site envoie aux navigateurs des développeurs “pour l’empêcher de stocker des informations sur vos applications ou votre compte afin que cela ne se produise plus.”