Bleeping ComputerZDNet報導,推特上周對開發人員發出警告信,一項管理工具的臭蟲可能導致API及帳號存取資訊外洩。

上周開發人員接到推特以電子郵件通知,他們剛發現並修補了developer.twitter.com網站誤將重要資訊儲存在瀏覽器快取中的漏洞。

Developer.twitter.com是開發人員用來管理其推特App API金鑰、以及開發人員自己推特帳號登入憑證等機密資訊的入口網站。這個臭蟲出在該網站傳送存取的指令錯誤,讓重要資訊會暫時儲存在瀏覽器中。如果開發人員以公共電腦存取Deverloper.twitter.com網站,則下個使用電腦及瀏覽器的人可能看到這些資訊,視開發人員造訪的網頁而定,其App API金鑰、或其推特帳號(用於OAuth驗證)的access token及access token secrets就可能外流。若他們未和他人共用電腦的話,就不受影響。

推特指出,目前尚未發現有開發人員App金鑰及token外流的證據。他們也已修補好這個臭蟲。對於之前曾以共享電腦存取網站的開發人員,推特建議開發人員應重新產生App金鑰和token來避免敏感資訊外洩。

推特的帳密一旦外洩往往帶來嚴重後果。例如今年7月該公司的Slack工作空間被人駭入取得推特管理工具的帳號,進而存取了上百位科技、政治名人及演藝人員的帳戶,最後得以發出詐騙推文,得手超過11萬美元。而由於多帳戶共用密碼的不良習慣,推特帳密外洩也可能導致用戶的臉書、Google等其他網路服務被駭。


Advertisement

更多 iThome相關內容