twitter-1795652_1280-1.jpg

Encontrados 3.200 apps que expõem chaves da API do Twitter

Hackers poderiam usar as chaves válidas para assumir totalmente as contas da rede de microblogs para realizar fraudes ou ações ilegais
Da Redação
05/08/2022

Pesquisadores de segurança da CloudSEK encontram 3.207 aplicativos que estavam vazando chaves válidas e informações sensíveis de usuários do Twitter, dos quais 230 estavam vazando todas as quatro credenciais de autenticação OAuth, que poderiam ser usadas por hackers ​​para assumir totalmente as contas da rede de microblogs para realizar fraudes ou ações ilegais. Algumas dessas ações incluem a leitura de mensagens, retuites, exclusão de mensagens, deturpar mensagens e obter configurações de conta.

OAuth ( ou autorização aberta) é um padrão aberto para autorização e é comumente usado para conceder acesso à API. Ele funciona em HTTPS e autoriza dispositivos, APIs, servidores e aplicativos a acessarem o sistema. Esse padrão também é usado pela Amazon, Google, Facebook e Microsoft.

A API do Twitter fornece acesso direto a uma conta da rede de microblogs e os tokens OAuth são usados ​​pela API para autenticação. “A API do Twitter dá acesso ao aplicativo e permite que um desenvolvedor acesse as principais funcionalidades do da rede de microblogs, como ler e enviar tuítes, mensagens, seguir e deixar de seguir usuários, etc., além de dados e funcionalidade em seus aplicativos. E as chaves de API vazadas podem ser usadas para construir um exército de bots”, alerta a CloudSEK.

A vulnerabilidade em aplicativos móveis geralmente é resultado de um erro por parte do desenvolvedor, segundo o relatório. “Ao desenvolver um aplicativo móvel, os desenvolvedores usam a API do Twitter para testes. Ao fazer isso, salvam as credenciais no aplicativo móvel. Às vezes, essas credenciais não são removidas antes de implantá-las no ambiente de produção. Depois que o aplicativo é carregado na Play Store, os segredos da API estão disponíveis para qualquer pessoa acessar. Um hacker pode simplesmente baixar o aplicativo e decompilá-lo para obter as credenciais da API. Assim, a partir daí, chaves e tokens de API podem ser coletados para preparar o exército de bots”, explica a empresa de cibersegurança.

Veja isso
Hacker põe à venda dados de 5,4 milhões de usuários do Twitter
Twitter multado em US$ 547 mil por ter infringido a GDPR em 2018

O relatório da CloudSEK diz ainda que as chaves e tokens de API válidos podem ser incorporados a um script para executar uma variedade de cenários de ataque, tais como espalhar desinformação, liderar ataques de malware por meio de contas verificadas transmitidas entre seguidores legítimos, spamming com o objetivo de, por exemplo, divulgar informações relacionadas a criptomoedas ou ao mercado de ações e disseminação de phishing para obter informações confidenciais do usuário, que serão usadas para lançar outros ataques de engenharia social ou roubo de identidade.

Comparando julho de 2021 a julho deste ano, o tráfego geral da API cresceu 168%, indicando que o uso das interfaces de programação também estão explodindo, de acordo com o relatório “State of API Security” referente ao terceiro trimestre deste ano.

“O tráfego de ataques maliciosos à APIs aumentou 117% no ano passado, de uma média de 12,22 milhões de chamadas maliciosas por mês para uma média de 26,46 milhões de chamadas”, diz o relatório.

Devido à crescente importância das APIs para os negócios, a segurança é um elemento crucial da estratégia de segurança cibernética de uma organização. Apesar disso, a maioria delas parece estar atrasada na segurança da API, de acordo com o último relatório de segurança de API da Salt Security. A autenticação deficiente da API continua sendo um dos principais problemas que facilitam os ataques. 

Compartilhar: