Исследователи CloudSEK обнаружили, что в 3207 приложениях произошла утечка секретных ключей аутентификации, которые могут быть использованы для получения несанкционированного доступа к учетным записям Twitter. Согласно отчету , 230 приложений пропускают все 4 гранта авторизации и могут быть использованы для полного захвата учетной записи Twitter, позволяя злоумышленнику:
читать сообщения;
делать ретвит;
ставить лайки;
удалять твиты;
подписываться на любую учетную запись;
удалять подписчиков;
получить доступ к настройкам учетной записи;
изменить изображение профиля.
Для доступа к API Twitter необходимо сгенерировать ключ и токен доступа, действующие как имя пользователя и пароль, а также пользователя, от имени которого будут выполняться запросы API.
Так киберпреступник может создать «армию» ботов в Twitter, которая может быть использована для распространения дезинформации на платформе. Более того, полученные из мобильных приложений ключи и токены могут быть использованы для запуска крупномасштабных вредоносных кампаний через доверенные учетные записи, нацеленные на их подписчиков.
Для смягчения атаки рекомендуется проверять код для жестко запрограммированных API-ключей, а также периодически менять ключи для снижения риска утечки данных.
Источник: SecurityLab