Эксперты по безопасности обнаружили, что более 3200 мобильных приложений пропускают ключи Twitter API, что потенциально позволяет злоумышленникам завладеть учетными записями пользователей.

С помощью ключей Twitter API разработчики могут подключаться к платформе социальных сетей и включать различные функции в свои собственные приложения. Например, игровые приложения могут публиковать самые высокие оценки пользователей непосредственно в их учетных записях Twitter. Аутентификация осуществляется с помощью токенов или ключей Twitter API.

Однако CloudSEK обнаружил, что эти ключи часто непреднамеренно оставлялись в API-интерфейсах Twitter разработчиками, не обладающими достаточными знаниями в области безопасности. Изучение обнаружили, что они могут использоваться для выполнения множества деликатных задач, таких как чтение личных сообщений, ретвиты, лайки, удаление, удаление подписчиков, подписка на учетные записи и изменение отображаемых фотографий.

You Might Also Like
AI Spam Bot Akirabot предназначен для веб -сайтов для SEO мошенничества
AI Spam Bot Akirabot предназначен для веб -сайтов для SEO мошенничества
Вам нужен Oculus для Metaverse?
Вам нужен Oculus для Metaverse?
Ожидается, что iOS 17.0.3 исправит проблему перегрева
Ожидается, что iOS 17.0.3 исправит проблему перегрева

По данным CloudSEK, 3207 приложений раскрыли законный ключ потребителя и секрет потребителя, что, возможно, позволило злоумышленникам создать значительную армию учетных записей ботов. Прежде чем объяснять риски, мы рекомендуем вам ознакомиться с нашим руководством, в котором объясняется, как исправить ошибку входа в Твиттер 7.

  Как исправить нарушение сторожевого таймера DPC в Windows 10?
Эксперты по безопасности обнаружили, что более 3200 мобильных приложений пропускают ключи Twitter API, что потенциально позволяет злоумышленникам завладеть учетными записями пользователей.
С помощью ключей Twitter API разработчики могут подключаться к платформе социальных сетей и включать различные функции в свои собственные приложения.

Ключи Twitter API утекли более чем в 3200 приложений

CloudSEK пытается создать армию ботов Twitter, которая сможет защитить пользователей в любом конфликте. Тем не менее, война дезинформации в Интернете, управляемая ботами, может быть самой опасной. Изобретатель Интернета Тим Бернерс-Ли утверждал, что для распространения ложной информации слишком просто, потому что большинство людей получают новости из избранной группы платформ социальных сетей и поисковых систем, которые получают прибыль от кликов пользователей по ссылкам. Ложные новости могут «распространяться со скоростью лесного пожара» на этих веб-сайтах, потому что их алгоритмы часто отдают предпочтение информации, основанной на том, с чем пользователи, скорее всего, взаимодействуют.

Эксперты по безопасности обнаружили, что более 3200 мобильных приложений пропускают ключи Twitter API, что потенциально позволяет злоумышленникам завладеть учетными записями пользователей.
Ключи Twitter API утекли более чем в 3200 приложений

Тем не менее, дескрипторы Twitter могут быть легко использованы для распространения ложной информации, что расширит его охват. С другой стороны, мошенничество и угрозы могут быть ловко вплетены в эту коммуникационную стратегию и выглядеть реальными. Недавно через Twitter было распространено фишинговое мошенничество с «фальшивыми уведомлениями о приостановке».

  Realme становится самым быстрорастущим брендом в истории мобильной связи

Для поддержки мошенничества использовались проверенные дескрипторы. Кроме того, он активно участвовал в президентских выборах в США в 2016 году. Твиттер вызвал еще больше споров, когда его использовали для распространения слухов об эпидемии COVID-19. Проблема выходит за рамки простого общения в сети, как и с любым веб-сайтом социальной сети.

Twitter идет еще дальше, поскольку для многих пользователей он служит единственным источником новостей и информации. Поскольку сообщение необходимо повторять, можно использовать многочисленные захваты учетных записей, чтобы петь одну и ту же песню в унисон.

«Иногда эти учетные данные не удаляются перед развертыванием в производственной среде. Как только приложение загружается в магазин игр, секреты API становятся доступными для всех», — CloudSek. заявил.

Эксперты по безопасности обнаружили, что более 3200 мобильных приложений пропускают ключи Twitter API, что потенциально позволяет злоумышленникам завладеть учетными записями пользователей.
Ключи Twitter API утекли более чем в 3200 приложений

«Хакер может просто загрузить приложение и декомпилировать его, чтобы получить учетные данные API. Таким образом, отсюда можно собирать массовые API-ключи и токены для подготовки армии ботов Twitter».

Согласно исследованию, этот тип бота Twitter может использоваться для:

  • Распространять ложную информацию по всему миру
  • Проводите обширные вредоносные кампании, чтобы заразить подписчиков взломанных учетных записей.
  • Начать спам-операции, направленные на поощрение мошенничества с инвестициями.
  • Автоматизируйте фишинг, чтобы облегчить дополнительные усилия по социальной инженерии
  OpenAI добавляет бета-версию Tasks в ChatGPT для запланированных действий

CloudSEK предупредил разработчиков о необходимости регулярно проводить проверки кода, следить за тем, чтобы файлы исходного кода не содержали «переменные среды», и менять ключи Twitter API.

Эксперты по безопасности обнаружили, что более 3200 мобильных приложений пропускают ключи Twitter API, что потенциально позволяет злоумышленникам завладеть учетными записями пользователей.
Ключи Twitter API утекают из более чем 3200 мобильных приложений

Поскольку сайты социальных сетей, такие как Twitter, гордятся тем, что предоставляют информацию в режиме реального времени, бывает сложно отличить преднамеренную ложь от непреднамеренной. Поэтому крайне важно, чтобы платформы социальных сетей предотвращали их использование для распространения ложной информации.

Безопасность данных социальных сетей и предотвращение распространения ложной информации через проверенные логины одинаково важны для бизнеса. И для этого необходимо соблюдать безопасный код и методы развертывания. Такие инструменты, как BeVigil, также можно использовать для проверки открытых ключей и учетных данных.

Вы также можете узнать, как отключить звук обновления Twitter, посетив наше руководство.

Source: Ключи Twitter API утекают из более чем 3200 мобильных приложений