1. 极安网首页
  2. 网络安全新闻

推特警告称开发者API密钥或遭泄露

推特正在通知开发人员称,他们的账户或遭因developer.twitter.com网站发送给用户浏览器不正确指令而引发的安全事件影响。

推特警告称开发者API密钥或遭泄露-极安网

Developer.twitter.com网站供开发人员管理Twitterapp和API密钥以及Twitter账户的访问令牌和密钥。

Twitter向开发人员发送邮件指出,developer.twitter.com网站告知浏览器创建并将API密钥副本、账户访问令牌和账户密钥存储在缓存中,以便在用户再次访问该网站时,提高页面加载速度。

虽然对于使用自己的浏览器的开发人员而言,这或许并不构成问题,但Twitter警告可能使用公共或共享计算机访问developer.twitter.com网站的开发人员称,他们的API密钥很可能存储在这些浏览器中。

Twitter表示,“在你访问网站后的短暂时间范围内,如果有人使用了同样的计算机且知道如何访问浏览器的缓存以及查找位置,那么他们就能访问你查看过的密钥和令牌。具体内容根据你所访问的网页和查看的内容决定,如app的消费者API密钥以及用户访问令牌和Twitter账户的机密信息。”

Twitter更改了用户访问developer.twitter.com门户网站时被缓存的内容,修复了这个问题。另外该公司还指出,目前未发现以这种方式遭泄露的API密钥案例,因为攻击者必须了解该bug,而且能够访问开发者的浏览器以提取密钥和令牌。

尽管如此,出于安全考虑,Twitter决定将此事告知开发人员。

Shutterstock公司的应用安全工程师JohnJackson表示,“我认为Twitter将此事告知开发人员是正确的。虽然我确信他们将面临关于安全方面的审查和透明度问题,但遭日常利用的可能性较低。我很好奇Twitter缓存的其它敏感信息是什么,因为这并非Twitter第一次这么干。”他指的是4月份发生的一起类似事件,当时该公司表示某些以直接消息形式发送的私密文件可能仍然存在于火狐浏览器的浏览器缓存中。

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/1960.html