Bleeping Computer、ZDNet报道,推特上周对开发人员发出警告信,一项管理工具的bug可能导致API及账号访问信息外泄。
上周开发人员接到推特以电子邮件通知,他们刚发现并修补了developer.twitter.com网站误将重要信息存储在浏览器缓存中的漏洞。
Developer.twitter.com是开发人员用来管理其推特App API密钥、以及开发人员自己推特账号登录凭证等机密信息的门户网站。这个bug出在该网站发送访问的指令错误,让重要信息会暂时存储在浏览器中。如果开发人员以公共计算机访问Deverloper.twitter.com网站,则下个使用计算机及浏览器的人可能看到这些信息,视开发人员访问的网页而定,其App API密钥、或其推特账号(用于OAuth验证)的access token及access token secrets就可能外流。若他们未和他人共享计算机的话,就不受影响。
推特指出,目前尚未发现有开发人员App密钥及token外流的证据。他们也已修补好这个bug。对于之前曾以共享计算机访问网站的开发人员,推特建议开发人员应重新产生App密钥和token来避免敏感信息外泄。
推特的帐密一旦外泄往往带来严重后果。例如今年7月该公司的Slack工做空间被人黑入取得推特管理工具的账号,进而访问了上百位科技、政治名人及演艺人员的账户,最后得以发出诈骗推文,得手超过11万美元。而由于多账户共享密码的不良习惯,推特帐密外泄也可能导致用户的脸书、Google等其他网络服务被黑。