Araştırmacılar, bazıları Twitter hesaplarına yetkisiz erişim sağlamak için kullanılabilecek 3,207 uygulamanın bir listesini ortaya çıkardı.
Singapur merkezli siber güvenlik firması, sırasıyla meşru Tüketici Anahtarı ve Tüketici Sırrı bilgilerinin sızması sayesinde devralma işlemini mümkün kılıyor. CloudSEK bir raporda söyledi münhasıran The Hacker News ile paylaşılmıştır.
Araştırmacılar, “3.207 uygulamadan 230’u dört kimlik doğrulama bilgisinin tamamını sızdırıyor ve Twitter Hesaplarını tamamen ele geçirmek için kullanılabilir ve herhangi bir kritik/hassas eylemi gerçekleştirebilir” dedi.
Bu, doğrudan mesajları okumaktan retweetleme, tweet’leri beğenme ve silme, herhangi bir hesabı takip etme, takipçileri kaldırma, hesap ayarlarına erişme ve hatta hesap profil resmini değiştirme gibi keyfi eylemler gerçekleştirmeye kadar değişebilir.
Twitter API’sine erişim gereklilikler Uygulamalar ve adına API isteklerinin yapılacağı kullanıcılar için kullanıcı adları ve şifreler olarak görev yapan Anahtarları ve Erişim Simgelerini oluşturmak.
Bu nedenle, bu bilgilere sahip olan kötü niyetli bir aktör, sosyal medya platformunda yanlış/dezenformasyon yaymak için potansiyel olarak kullanılabilecek bir Twitter bot ordusu oluşturabilir.
Araştırmacılar, “Aynı melodiyi birlikte söylemek için birden fazla hesap devralma kullanılabildiğinde, yalnızca ödenmesi gereken mesajı yineler” dedi.
Dahası, CloudSEK tarafından açıklanan varsayımsal bir senaryoda, mobil uygulamalardan toplanan API anahtarları ve belirteçleri, takipçilerini hedeflemek için doğrulanmış hesaplar aracılığıyla büyük ölçekli kötü amaçlı yazılım kampanyaları yürütmek için bir programa yerleştirilebilir.
Endişeye ek olarak, anahtar sızıntısının yalnızca Twitter API’leri ile sınırlı olmadığı belirtilmelidir. Geçmişte CloudSEK araştırmacıları, korumasız mobil uygulamalardan GitHub, AWS, HubSpot ve Razorpay hesaplarının gizli anahtarlarını ortaya çıkardı.
Bu tür saldırıları azaltmak için, doğrudan sabit kodlanmış API anahtarları için kodu gözden geçirmeniz ve ayrıca bir sızıntıdan kaynaklanan olası riskleri azaltmaya yardımcı olmak için anahtarları periyodik olarak döndürmeniz önerilir.
Araştırmacılar, “Bir ortamdaki değişkenler, anahtarlara atıfta bulunmak ve onları kaynak dosyaya gömmemek dışında gizlemek için alternatif araçlardır” dedi.
“Değişkenler zamandan tasarruf sağlar ve güvenliği artırır. Kaynak kodunda ortam değişkenleri içeren dosyaların dahil edilmediğinden emin olmak için yeterli özen gösterilmelidir.”
