Hơn 3.000 ứng dụng di động rò rỉ thông tin khóa Twitter API

13:00 | 10/08/2022 | LỖ HỔNG ATTT

Các nhà nghiên cứu vừa phát hiện một danh sách gồm 3.207 ứng dụng, trong đó, một số ứng dụng có thể được sử dụng để truy cập trái phép vào tài khoản Twitter.

Hơn 3.000 ứng dụng di động rò rỉ thông tin khóa Twitter API

Các nhà nghiên cứu cho biết: trong số 3.207, có 230 ứng dụng bị rò rỉ cả 4 thông tin xác thực và có thể được sử dụng để chiếm đoạt của người dùng, đồng thời thực hiện nhiều hoạt động độc hại. Các hoạt động có thể thực hiện bao gồm: đọc tin nhắn trực tiếp, thực hiện các hành động tùy ý như đăng lại, thích và xóa tweet, theo dõi bất kỳ tài khoản nào, xóa người theo dõi, truy cập cài đặt tài khoản và thậm chí thay đổi ảnh hồ sơ tài khoản.

Quyền truy cập vào Twitter API yêu cầu tạo Key và Access Token, đóng vai trò tương tự như tên người dùng và mật khẩu cho các ứng dụng, cho phép thực hiện nhiều hành động trên tài khoản thông qua API này. Do đó, tin tặc sở hữu thông tin này có thể tạo ra nhiều bot Twitter để phát tán thông tin sai lệch trên nền tảng mạng xã hội.

Trong một tình huống giả định được đưa ra bởi CloudSEK (Ấn Độ), các khóa API và token thu thập được từ các ứng dụng dành cho thiết bị di động có thể được nhúng vào một chương trình. Cho phép tin tặc thực hiện các chiến dịch phần mềm độc hại quy mô lớn thông qua các tài khoản đã được xác minh để nhắm mục tiêu những người theo dõi trên tài khoản.

Phát hiện của CloudSEK cho thấy việc rò rỉ không chỉ xảy ra ở các API, mà còn xuất hiện trong các khóa bí mật cho tài khoản khoản GitHub, AWS, HubSpot và Razorpay từ các ứng dụng di động.

Để giảm thiểu các cuộc tấn công do lộ lọt thông tin gây ra, người dùng nên kiểm tra lại mã cho các khóa API được mã hóa cứng trực tiếp, đồng thời tạo các khóa định kỳ để giúp giảm rủi ro có thể xảy ra do rò rỉ.

ĐT

‹ › ×

Tin liên quan

Hacker lạm dụng API để xác minh hàng triệu số điện thoại đăng ký xác thực đa yêu tố Authy

14:00 | 29/07/2024

Công ty cung cấp dịch vụ Communication APIs Twilio (Mỹ) đã xác nhận rằng một API không bảo mật đã cho phép các tác nhân đe dọa xác minh số điện thoại của hàng triệu người dùng xác thực đa yếu tố Authy, khiến họ có khả năng bị tấn công lừa đảo qua tin nhắn SMS và tấn công hoán đổi SIM.

Twitter chặn các quảng cáo liên quan tới sự kiện chiến tranh Ukraine

14:00 | 02/03/2022

Mới đây, Twitter đã tạm dừng các quảng cáo tại Nga và Ukraine, một trong các bước mà nền tảng này đang thực hiện để giảm thiểu rủi ro về thông tin liên quan đến xung đột ở Ukraine.

Dữ liệu bị rò rỉ của Disney tiết lộ bí mật tài chính và chiến lược

16:00 | 19/09/2024

Theo thông tin của Wall Street, một số dữ liệu của Walt Disney bao gồm thông tin tài chính và chiến lược, cũng như thông tin nhận dạng cá nhân của một số nhân viên và khách hàng đã bị rò rỉ trực tuyến.

Chính phủ Vương quốc Anh đưa ra Hướng dẫn bảo mật cho ứng dụng dành cho thiết bị di động

10:00 | 21/12/2022

Hôm 9/12, chính phủ Vương quốc Anh vừa công bố quy tắc thực hành tự nguyện thúc giục các nhà điều hành cửa hàng ứng dụng và nhà phát triển ứng dụng nâng cấp các biện pháp bảo mật và quyền riêng tư của họ. Hướng dẫn này là kết quả của một cuộc tham vấn cộng đồng được đưa ra hồi tháng 5, với 59 phản hồi, phần lớn trong số đó là tích cực. Hướng dẫn mới sẽ được theo dõi để đảm bảo tuân thủ.

Mã khai thác lỗ hổng zero-day trên Chrome đã được công khai trên Twitter

10:00 | 26/04/2021

Trên Twitter, nhà nghiên cứu Rajvardhan Agarwal vừa công khai mã khai thác cho lỗ hổng thực thi từ xa RCE. Lỗ hổng ảnh hưởng đến các phiên bản đang lưu hành của Google Chrome và có thể trên cả một số trình duyệt khác sử dụng nền tảng Chromium như Microsoft Edge.

Walt Disney bị rò rỉ hơn 1 terabyte dữ liệu nội bộ

10:00 | 18/07/2024

Một nhóm hacker đã đăng lên mạng hơn 1 terabyte dữ liệu nội bộ từ hơn 10.000 kênh Slack (ứng dụng nhắn tin và làm việc nhóm) của công ty Walt Disney.

Ấn Độ áp luật mới lên Facebook, Twitter và YouTube

08:00 | 12/03/2021

Ấn Độ vừa ban hành các quy định mới nghiêm ngặt hơn đối với Facebook, Twitter và các nền tảng truyền thông xã hội khác sau khi Chính phủ nước này cố gắng gây áp lực để Twitter gỡ bỏ các tài khoản mà họ cho là có hành vi chống phá.

Tin cùng chuyên mục

Hơn 700.000 bộ định tuyến DrayTek đang là mục tiêu dễ bị tấn công từ xa

14:00 | 11/10/2024

Các nhà nghiên cứu bảo mật đến từ công ty an ninh mạng Forescout (Mỹ) đã phát hiện 14 lỗ hổng bảo mật được đánh giá nghiêm trọng trên bộ định tuyến DrayTek.

FBI triệt phá nhóm tin tặc mã độc tống tiền khét tiếng Dispossessor

21:00 | 29/08/2024

Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.

Nhà cung ứng chip quốc phòng Mỹ bị tấn công mạng

14:00 | 22/08/2024

Các máy chủ của Microchip Technology, nhà cung ứng chip quan trọng cho ngành công nghiệp quốc phòng Mỹ đã bị tấn công, buộc công ty này phải tạm ngừng một số hệ thống và giảm quy mô hoạt động.

Các lỗ hổng nghiêm trọng trong CocoaPods khiến các ứng dụng iOS và macOS dễ bị tấn công chuỗi cung ứng

08:00 | 22/07/2024

Ba lỗ hổng bảo mật được phát hiện trong ứng dụng quản lý thư viện CocoaPods cho các dự án Cocoa Swift và Objective-C có thể bị khai thác để thực hiện các cuộc tấn công chuỗi cung ứng phần mềm, gây ra rủi ro nghiêm trọng đối với người dùng cuối.