Компания Twitter направила разработчикам электронное письмо, в котором сообщила, что их браузеры могли кэшировать некоторые данные при посещении сайта Twitter Developer из-за неверных настроек сервера.
Портал Twitter Developer позволяет разработчикам управлять приложениями для Twitter, ключами API и токенами доступа к учётным записям. Сайт отправлял браузерам инструкции копировать токены доступа, ключи API и закрытые ключи и сохранять их в кэше, что в дальнейшем позволяло браузеру быстрее загружать страницу при повторном посещении сайта.
Токены и ключи API позволяют приложению получать доступ к различным разрешениям и данным для конкретной учетной записи Twitter. Если неавторизованный пользователь может получить доступ к ключу API или токенам безопасности, он также получит полный доступ к тем же разрешениям и данным, что и приложение.
В Twitter пояснили, что данный инцидент не будет проблемой для тех разработчиков, кто использует личные браузеры. Однако данные тех, кто заходил на сайт чужие или общедоступные компьютеры, могут быть в опасности.
«Если кто-то, кто работал на этом же компьютере после вас, знал, как получить доступ к кэшу браузера и знал, что искать, существует вероятность, что он мог получить доступ к ключам и токенам, которые вы просматривали. В зависимости от того, какие страницы вы посещали и какую информацию просматривали, это могли быть ключи API приложений, а также токены доступа и закрытые ключи для вашей собственной учетной записи Twitter», — указано в письме Twitter для разработчиков.
На сегодня компания уже исправила ошибку, определив в инструкциях для браузеров, какие данные необходимо кэшировать. В Twitter также отметили, что нет свидетельств того, что какие-либо ключи или токены были скомпрометированы. Тем не менее, в компании отметили, что для повышения безопасности лучше обновить ключи API и токены доступа.
В июле Twitter подвергся глобальной атаке. Хакеры смогли на некоторое время получить доступ к интерфейсу управления сервисом, что позволило им перехватить управление над множеством верифицированных аккаунтов. В результате от имени таких аккаунтов, как Apple, Uber, Elon Musk, Bill Gates, Warren Buffett, Jeff Bezos, Mike Bloomberg, Barack Obama, Joe Biden, и других были опубликованы сообщения с призывом перечислить им биткоины.
Ранее Twitter предупредил бизнес-клиентов о возможной утечке их персональных данных. Информация о банковских счетах нескольких клиентов могла храниться в кэше браузера, что позволяло злоумышленникам получить к ней доступ.