twitter-1795652_1280-1.jpg

Encontrados 3.200 apps que expõem chaves da API do Twitter

Da Redação
05/08/2022

Pesquisadores de segurança da CloudSEK encontram 3.207 aplicativos que estavam vazando chaves válidas e informações sensíveis de usuários do Twitter, dos quais 230 estavam vazando todas as quatro credenciais de autenticação OAuth, que poderiam ser usadas por hackers ​​para assumir totalmente as contas da rede de microblogs para realizar fraudes ou ações ilegais. Algumas dessas ações incluem a leitura de mensagens, retuites, exclusão de mensagens, deturpar mensagens e obter configurações de conta.

OAuth ( ou autorização aberta) é um padrão aberto para autorização e é comumente usado para conceder acesso à API. Ele funciona em HTTPS e autoriza dispositivos, APIs, servidores e aplicativos a acessarem o sistema. Esse padrão também é usado pela Amazon, Google, Facebook e Microsoft.

A API do Twitter fornece acesso direto a uma conta da rede de microblogs e os tokens OAuth são usados ​​pela API para autenticação. “A API do Twitter dá acesso ao aplicativo e permite que um desenvolvedor acesse as principais funcionalidades do da rede de microblogs, como ler e enviar tuítes, mensagens, seguir e deixar de seguir usuários, etc., além de dados e funcionalidade em seus aplicativos. E as chaves de API vazadas podem ser usadas para construir um exército de bots”, alerta a CloudSEK.

A vulnerabilidade em aplicativos móveis geralmente é resultado de um erro por parte do desenvolvedor, segundo o relatório. “Ao desenvolver um aplicativo móvel, os desenvolvedores usam a API do Twitter para testes. Ao fazer isso, salvam as credenciais no aplicativo móvel. Às vezes, essas credenciais não são removidas antes de implantá-las no ambiente de produção. Depois que o aplicativo é carregado na Play Store, os segredos da API estão disponíveis para qualquer pessoa acessar. Um hacker pode simplesmente baixar o aplicativo e decompilá-lo para obter as credenciais da API. Assim, a partir daí, chaves e tokens de API podem ser coletados para preparar o exército de bots”, explica a empresa de cibersegurança.

Veja isso
Hacker põe à venda dados de 5,4 milhões de usuários do Twitter
Twitter multado em US$ 547 mil por ter infringido a GDPR em 2018

O relatório da CloudSEK diz ainda que as chaves e tokens de API válidos podem ser incorporados a um script para executar uma variedade de cenários de ataque, tais como espalhar desinformação, liderar ataques de malware por meio de contas verificadas transmitidas entre seguidores legítimos, spamming com o objetivo de, por exemplo, divulgar informações relacionadas a criptomoedas ou ao mercado de ações e disseminação de phishing para obter informações confidenciais do usuário, que serão usadas para lançar outros ataques de engenharia social ou roubo de identidade.

Comparando julho de 2021 a julho deste ano, o tráfego geral da API cresceu 168%, indicando que o uso das interfaces de programação também estão explodindo, de acordo com o relatório “State of API Security” referente ao terceiro trimestre deste ano.

“O tráfego de ataques maliciosos à APIs aumentou 117% no ano passado, de uma média de 12,22 milhões de chamadas maliciosas por mês para uma média de 26,46 milhões de chamadas”, diz o relatório.

Devido à crescente importância das APIs para os negócios, a segurança é um elemento crucial da estratégia de segurança cibernética de uma organização. Apesar disso, a maioria delas parece estar atrasada na segurança da API, de acordo com o último relatório de segurança de API da Salt Security. A autenticação deficiente da API continua sendo um dos principais problemas que facilitam os ataques. 

Compartilhar: