编译:奇安信代码卫士团队
推特正在通知开发人员称,他们的账户或遭因 developer.twitter.com 网站发送给用户浏览器不正确指令而引发的安全事件影响。
Developer.twitter.com网站供开发人员管理 Twitter app 和 API 密钥以及Twitter 账户的访问令牌和密钥。
Twitter 向开发人员发送邮件指出,developer.twitter.com网站告知浏览器创建并将 API 密钥副本、账户访问令牌和账户密钥存储在缓存中,以便在用户再次访问该网站时,提高页面加载速度。
虽然对于使用自己的浏览器的开发人员而言,这或许并不构成问题,但 Twitter 警告可能使用公共或共享计算机访问developer.twitter.com 网站的开发人员称,他们的 API 密钥很可能存储在这些浏览器中。
Twitter 表示,“在你访问网站后的短暂时间范围内,如果有人使用了同样的计算机且知道如何访问浏览器的缓存以及查找位置,那么他们就能访问你查看过的密钥和令牌。具体内容根据你所访问的网页和查看的内容决定,如 app 的消费者 API 密钥以及用户访问令牌和 Twitter 账户的机密信息。”
Twitter 更改了用户访问developer.twitter.com 门户网站时被缓存的内容,修复了这个问题。另外该公司还指出,目前未发现以这种方式遭泄露的 API 密钥案例,因为攻击者必须了解该 bug,而且能够访问开发者的浏览器以提取密钥和令牌。
尽管如此,出于安全考虑,Twitter 决定将此事告知开发人员。
Shutterstock 公司的应用安全工程师 John Jackson表示,“我认为 Twitter 将此事告知开发人员是正确的。虽然我确信他们将面临关于安全方面的审查和透明度问题,但遭日常利用的可能性较低。我很好奇 Twitter 缓存的其它敏感信息是什么,因为这并非 Twitter 第一次这么干。”他指的是4月份发生的一起类似事件,当时该公司表示某些以直接消息形式发送的私密文件可能仍然存在于火狐浏览器的浏览器缓存中。
原文链接
https://www.zdnet.com/article/twitter-warns-of-possible-api-keys-leak/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
