推特警告開發人員API金鑰、登入憑證可能外洩

Bleeping Computer、ZDNet報導，推特上周對開發人員發出警告信，一項管理工具的臭蟲可能導致API及帳號存取資訊外洩。

上周開發人員接到推特以電子郵件通知，他們剛發現並修補了developer.twitter.com網站誤將重要資訊儲存在瀏覽器快取中的漏洞。

Developer.twitter.com是開發人員用來管理其推特App API金鑰、以及開發人員自己推特帳號登入憑證等機密資訊的入口網站。這個臭蟲出在該網站傳送存取的指令錯誤，讓重要資訊會暫時儲存在瀏覽器中。如果開發人員以公共電腦存取Deverloper.twitter.com網站，則下個使用電腦及瀏覽器的人可能看到這些資訊，視開發人員造訪的網頁而定，其App API金鑰、或其推特帳號（用於OAuth驗證）的access token及access token secrets就可能外流。若他們未和他人共用電腦的話，就不受影響。

推特指出，目前尚未發現有開發人員App金鑰及token外流的證據。他們也已修補好這個臭蟲。對於之前曾以共享電腦存取網站的開發人員，推特建議開發人員應重新產生App金鑰和token來避免敏感資訊外洩。

推特的帳密一旦外洩往往帶來嚴重後果。例如今年7月該公司的Slack工作空間被人駭入取得推特管理工具的帳號，進而存取了上百位科技、政治名人及演藝人員的帳戶，最後得以發出詐騙推文，得手超過11萬美元。而由於多帳戶共用密碼的不良習慣，推特帳密外洩也可能導致用戶的臉書、Google等其他網路服務被駭。