Twitter API 密钥泄露问题

关键发现

研究人员发现 3207 个应用程序泄露了 Twitter API 密钥，攻击者可利用其访问或接管 Twitter 账户。CloudSEK 报告显示，其中 230 个应用全面泄漏了四个认证凭据，攻击者可借此操控 Twitter 账户进行各种操作，包括读取私信、转发、点赞、删除、移除粉丝等。攻击者可利用 Twitter 账号传播虚假信息，这在其他平台上是不可能的，导致潜在的网络诈骗和威胁。

近日，研究人员揭露了一个重大的安全漏洞，3207 个应用程序泄露了 Twitter API 密钥，从而使攻击者能够获取这些账号的访问权。根据 CloudSEK 的报告，其 BeVigil 搜索引擎发现，230 个应用程序泄露了完整的四个认证凭据，攻击者能够全面接管 Twitter 账号，执行包括阅读私信、转发、点赞、删除、移除关注者、关注任何账户、获取账户设置和修改头像在内的各种操作。

CloudSEK 的研究人员指出， Twitter 已成为一个重要的社交媒体平台，攻击者可以利用 Twitter 账号来传播虚假信息，这是其他平台中难以做到的。他们也对攻击者能够在这些活动中编织骗局和威胁表示担忧，这使得其看起来更具合法性，容易使不知情的用户上当受骗。

在今天的行情中，平均每个移动应用包含超过 30 个第三方 API，这些 API 可以被黑客利用来盗取数据、跟踪用户、传播恶意软件并发起精准攻击。 Chris Olson The Media Trust 首席执行官

Olson 还指出，网络安全事件通常与云服务客户对 API 的错误配置或对脆弱的第三方供应商过度依赖有关，而不是云服务提供商CSP自身的安全缺陷。他强调，今天的开发者需要更加警惕，以保护用户的数字安全和信任，同时组织需要要求对应用程序组件的更大透明度，以保护员工免受网络风险。

根据 Salt Security 的研究副总裁 Yaniv Balmas 透露，Twitter API 密钥泄露问题反映过去许多类似报告中秘密 API 密钥意外泄露的现象。这些密钥可能在开源软件的版本中泄露，或者在公开资源中，或者像在本例中一样，在移动应用中被暴露。

Balmas 提到：“此案例与以往大多数情况下的主要区别在于，当开发者暴露 API 密钥时，主要风险通常只涉及应用程序或供应商。例如 AWS S3 API 密钥泄露在 GitHub 上。而在本案例中，由于用户允许移动应用访问他们自己的 Twitter 账户，这就使得用户面临与应用程序自身相同的风险水平。这增加了由于 API 和 SaaS 领域的快速发展而导致的潜在滥用和攻击场景的可能性。”