Migliaia di app stanno perdendo le credenziali dell’API di Twitter, consentendo agli aggressori di dirottare completamente quegli account e utilizzarli per il furto di identitào altri tipi di frodi informatiche.
CloudSEK, un’azienda di sicurezza informatica, ha scoperto un totale di 3.207 app mobile che trapelano chiavi del consumatore valide e segreti del consumatore per l’API di Twitter. Diverse app mobile si integrano con Twitter, consentendo loro di svolgere attività specifiche al posto degli utenti. L’integrazione viene eseguita utilizzando l’API di Twitter e le chiavi e i segreti del consumatore.
Twitter è colpita da malintenzionati
Facendo trapelare questo tipo di dati, le app possono consentire ai malintenzionati di twittare, inviare e leggere messaggi diretti o fare qualcosa di simile. Secondo CloudSEK, un hacker può assemblare un ‘esercito’ di endpoint Twitter per supportare una campagna di frode o malware twittando, retweet, contattando tramite DM e così via.
Le app in questione, secondo i ricercatori, includono app di e-banking, app di trasporto urbano, sintonizzatori radio e altre e hanno tra 50.000 e cinque milioni di download ciascuna. In altre parole, è probabile che milioni di account Twitter vengano compromessi. Tutti i proprietari di app sono stati avvisati, tuttavia la maggior parte di loro non ha nemmeno ammesso di essere stata avvisata, per non parlare di correggere il problema. Secondo i rapporti, Ford Motors è stata una delle aziende che ha affrontato rapidamente il problema sulla sua app Ford Events.
L’elenco delle app non verrà reso pubblico fino a quando altre app non risolveranno il problema. Le perdite di API, secondo gli esperti, sono in genere il risultato di errori nello sviluppo delle app. Gli sviluppatori a volte incorporano le chiavi di autenticazione nell’API di Twitter e poi trascurano di eliminarle. Per evitare tali perdite, CloudSEK propone agli sviluppatori di utilizzare la rotazione delle chiavi API, che renderà le chiavi esposte non valide dopo un certo periodo di tempo. A causa di queste falle di sicurezza, milioni di account Twitter potrebbero essere presi di mira.