در دنیای امروز هزاران برنامه کاربردی وجود دارند که به دلیل نقضهای امنیتی خود، کلیدهای API پلتفرم توییتر را منتشر میکنند و به هکرها و افراد سودجو این فرصت را میدهند تا با استفاده از این موضوع بتوانند به صورتی کامل به اکانتهای افراد مختلف دسترسی داشته باشند.
هکرها اگر به اکانتهای گفته شده دسترسی پیدا کنند، میتوانند از آن برای سرقت هویت یا دیگر انواع کلاهبرداری سایبری بهره ببرند. این یافتهها برای اولین بار توسط کارشناسان امنیت سایبری CloudSEK به دست آمده است که نشان میدهد در مجموع 3207 برنامه وجود دارند که Consumer Keys معتبر و همچنین Consumer Secrets تمامی APIهای توییتر را فاش میکنند.
برنامههای مختلفی را میتوانید روی گوشیهای هوشمند پیدا کنید که با توییتر ادغام میشوند و به آن برنامهها اجازه میدهند تا اقدامات خاصی را به جای کاربر انجام دهند. ادغام از طریق API توییتر و با کمک Consumer Keys و Consumer Secrets انجام میشود. با افشای این نوع از دادهها، برنامهها به صورتی کاملا اساسی به هکرها اجازه میدهند تا چیزهایی را توییت کنند، پیامهایی را برای دیگران ارسال یا پیامهای دریافت شده را بخوانند یا حتی کارهای دیگری را انجام دهند.
CloudSEK توضیح میدهد که در تئوری، یک هکر میتواند ارتشی از اکانتها را دور خودش جمع کند و یک کمپین مربوط به بدافزار را با استفاده از توییت و ریتوییت کردن، ارتباط از طریق دایرکت و مواردی دیگر رهبری کند.
محققان این موسسه میگویند که برنامههای گفته شده شامل برنامههای بانکداری الکترونیکی، برنامههای حمل و نقل شهری، تیونرهای رادیویی و موارد مشابه هستند که هر کدام از آنها بین 50 هزار تا 5 میلیون بار دانلود شدهاند. به عبارت دیگر، میلیونها اکانت توییتر به احتمال زیاد در معرض این خطر هستند.
به همه دانلودکنندگان این برنامهها هشدارهای کافی داده شده است، اما اکثر آنها حتی این اطلاعرسانیها را تایید نکردهاند، چه رسد به رسیدگی به این مشکل گفته شده. فورد موتورز، یکی از شرکتهایی است که در برنامه رویدادهای فورد خود به سرعت این موضوع را برطرف کرده است و اگر این برنامه را روی گوشی خود دارید، نیازی نیست که نگران باشید.
تا زمانی که سایر برنامهها مشکل را برطرف نکنند، لیست آنها منتشر نخواهد شد تا هکرها با سرعت کمتری به اکانت کاربران توییتری دسترسی پیدا کنند.
محققان امنیتی همچنین اضافه کردند که نشت API معمولا نتیجه خطاهایی در توسعه برنامه است. گاهی اوقات، توسعهدهندگان کلیدهای احراز هویت را در API توییتر جاسازی و بعد فراموش میکنند که آنها را حذف نمایند. برای جلوگیری از افشای چنین مواردی، CloudSEK به توسعهدهندگان توصیه میکند از چرخش کلید API استفاده کنند که بعد از مدتی کلیدهای در معرض نمایش را نامعتبر خواهد کرد.