Il existe un problème de sécurité sur Twitter ( comme l'utilisation de Twitter Space ), principalement le résultat d' erreurs insignifiantes commises par des développeurs d'applications tiers s'intégrant à l'application de messagerie populaire, et l' ampleur du phénomène est vraiment impressionnante. Selon les chercheurs en sécurité de CloudSEK qui ont enquêté sur la question, 3 207 applications exposent les clés API de Twitter au public, et dans le pire des cas, environ 320 applications permettraient à un attaquant de prendre le contrôle des comptes Twitter des utilisateurs associés à l'application. Mais comment fonctionne cette menace ? Lors de l'intégration d'applications dans Twitter, les développeurs reçoivent des clés d'authentification spéciales, appelées jetons, qui permettent à leurs applications d'interagir avec l'API Twitter . Lorsqu'un utilisateur associe son compte Twitter à cette application, les clés permettent à l'application d'agir au nom de l'utilisateur, en lui donnant accès à Twitter, en créant des tweets, en envoyant des messages directs, etc.
Étant donné que l'accès à ces clés d'authentification pourrait permettre à n'importe qui d' effectuer des actions pour l'utilisateur, il n'est jamais recommandé de stocker les clés directement dans une application, où un attaquant pourrait les trouver, mais souvent certains développeurs intègrent l'authentification de leurs clés dans l'API Twitter et oublient ensuite pour les supprimer lorsque les applications sont rendues publiques. Cela permettrait à un attaquant de prendre le contrôle du compte et d'effectuer les opérations suivantes :
- Lire les messages directs
- Retweet
- Commenter
- Retirer
- Supprimer les abonnés
- Suivez n'importe quel compte
- Obtenir les paramètres de votre compte
- Changer l'image
Quels sont les dangers ? L'un des principaux est la désinformation. Étant donné que certains des comptes impliqués sont très médiatisés, la société de cybersécurité affirme qu'une armée de bots pourrait les utiliser pour diffuser de la désinformation. D'autres risques sont liés à la propagation d'escroqueries , telles que celles liées aux crypto -monnaies (parmi les plus courantes sur Twitter) ou à la divulgation potentielle d'informations sensibles lorsque les attaquants accèdent aux messages directs. Quelles applications sont concernées ? La firme de recherche n'a pas publié les noms , car certains sont extrêmement populaires, avec des millions d'utilisateurs, et le problème n'a pas encore été résolu . Retrouvez ici l'article original , au titre assez évocateur .
Étant donné que l'accès à ces clés d'authentification pourrait permettre à n'importe qui d' effectuer des actions pour l'utilisateur, il n'est jamais recommandé de stocker les clés directement dans une application, où un attaquant pourrait les trouver, mais souvent certains développeurs intègrent l'authentification de leurs clés dans l'API Twitter et oublient ensuite pour les supprimer lorsque les applications sont rendues publiques. Cela permettrait à un attaquant de prendre le contrôle du compte et d'effectuer les opérations suivantes :
- Lire les messages directs
- Retweet
- Commenter
- Retirer
- Supprimer les abonnés
- Suivez n'importe quel compte
- Obtenir les paramètres de votre compte
- Changer l'image
Quels sont les dangers ? L'un des principaux est la désinformation. Étant donné que certains des comptes impliqués sont très médiatisés, la société de cybersécurité affirme qu'une armée de bots pourrait les utiliser pour diffuser de la désinformation. D'autres risques sont liés à la propagation d'escroqueries , telles que celles liées aux crypto -monnaies (parmi les plus courantes sur Twitter) ou à la divulgation potentielle d'informations sensibles lorsque les attaquants accèdent aux messages directs. Quelles applications sont concernées ? La firme de recherche n'a pas publié les noms , car certains sont extrêmement populaires, avec des millions d'utilisateurs, et le problème n'a pas encore été résolu . Retrouvez ici l'article original , au titre assez évocateur .
Liens
Lien (157 Clics)
Plus d'actualités dans cette catégorie