Twitter API 密钥泄露问题

关键发现

• 研究人员发现 3,207 个应用程序泄露了 Twitter API 密钥，攻击者可利用其访问或接管 Twitter 账户。
• CloudSEK 报告显示，其中 230 个应用全面泄漏了四个认证凭据，攻击者可借此操控 Twitter 账户进行各种操作，包括读取私信、转发、点赞、删除、移除粉丝等。
• 攻击者可利用 Twitter 账号传播虚假信息，这在其他平台上是不可能的，导致潜在的网络诈骗和威胁。

近日，研究人员揭露了一个重大的安全漏洞，3,207 个应用程序泄露了 Twitter API 密钥，从而使攻击者能够获取这些账号的访问权。根据
的报告，其 BeVigil 搜索引擎发现，230个应用程序泄露了完整的四个认证凭据，攻击者能够全面接管 Twitter账号，执行包括阅读私信、转发、点赞、删除、移除关注者、关注任何账户、获取账户设置和修改头像在内的各种操作。

CloudSEK 的研究人员指出， Twitter 已成为一个重要的社交媒体平台，攻击者可以利用 Twitter账号来传播虚假信息，这是其他平台中难以做到的。他们也对攻击者能够在这些活动中编织骗局和威胁表示担忧，这使得其看起来更具合法性，容易使不知情的用户上当受骗。

“在今天的行情中，平均每个移动应用包含超过 30 个第三方 API，这些 API 可以被黑客利用来盗取数据、跟踪用户、传播恶意软件并发起精准攻击。” —
Chris Olson, The Media Trust 首席执行官

Olson 还指出，网络安全事件通常与云服务客户对 API的错误配置或对脆弱的第三方供应商过度依赖有关，而不是云服务提供商（CSP）自身的安全缺陷。他强调，今天的开发者需要更加警惕，以保护用户的数字安全和信任，同时组织需要要求对应用程序组件的更大透明度，以保护员工免受网络风险。

根据 Salt Security 的研究副总裁 Yaniv Balmas 透露，Twitter API 密钥泄露问题反映过去许多类似报告中秘密 API密钥意外泄露的现象。这些密钥可能在开源软件的版本中泄露，或者在公开资源中，或者像在本例中一样，在移动应用中被暴露。

Balmas 提到：“此案例与以往大多数情况下的主要区别在于，当开发者暴露 API 密钥时，主要风险通常只涉及应用程序或供应商。例如 AWS S3 API密钥泄露在 GitHub 上。而在本案例中，由于用户允许移动应用访问他们自己的 Twitter账户，这就使得用户面临与应用程序自身相同的风险水平。这增加了由于 API 和 SaaS 领域的快速发展而导致的潜在滥用和攻击场景的可能性。”

Synopsys 软件完整性集团(Mossybear) 的研究员 Ray Kelly 表示，尽管此事件对 Twitter最终用户的潜在影响很大，但这种类型的漏洞实际上是最容易防范的。他指出，在评估一个移动应用的安全漏洞时，重要的是要测试后端服务器、网络层以及在本例中设备本身。

“在设备上未对 API 密钥加密相当于用便签纸包装你的 ATM 卡，并在上面写上你的 PIN 号码。” — Ray Kelly

然而，他也指出，这种情况下的后果更为严重，可能导致攻击者执行虚假信息攻击或冒充攻击，进而针对特定的 Twitter 用户。