推特警告称开发者 API 密钥或遭泄露
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
推特正在通知开发人员称,他们的账户或遭因 developer.twitter.com 网站发送给用户浏览器不正确指令而引发的安全事件影响。
Developer.twitter.com网站供开发人员管理 Twitter app 和 API 密钥以及Twitter 账户的访问令牌和密钥。
Twitter 向开发人员发送邮件指出,developer.twitter.com网站告知浏览器创建并将 API 密钥副本、账户访问令牌和账户密钥存储在缓存中,以便在用户再次访问该网站时,提高页面加载速度。
虽然对于使用自己的浏览器的开发人员而言,这或许并不构成问题,但 Twitter 警告可能使用公共或共享计算机访问developer.twitter.com 网站的开发人员称,他们的 API 密钥很可能存储在这些浏览器中。
Twitter 表示,“在你访问网站后的短暂时间范围内,如果有人使用了同样的计算机且知道如何访问浏览器的缓存以及查找位置,那么他们就能访问你查看过的密钥和令牌。具体内容根据你所访问的网页和查看的内容决定,如 app 的消费者 API 密钥以及用户访问令牌和 Twitter 账户的机密信息。”
Twitter 更改了用户访问developer.twitter.com 门户网站时被缓存的内容,修复了这个问题。另外该公司还指出,目前未发现以这种方式遭泄露的 API 密钥案例,因为攻击者必须了解该 bug,而且能够访问开发者的浏览器以提取密钥和令牌。
尽管如此,出于安全考虑,Twitter 决定将此事告知开发人员。
Shutterstock 公司的应用安全工程师 John Jackson表示,“我认为 Twitter 将此事告知开发人员是正确的。虽然我确信他们将面临关于安全方面的审查和透明度问题,但遭日常利用的可能性较低。我很好奇 Twitter 缓存的其它敏感信息是什么,因为这并非 Twitter 第一次这么干。”他指的是4月份发生的一起类似事件,当时该公司表示某些以直接消息形式发送的私密文件可能仍然存在于火狐浏览器的浏览器缓存中。
推荐阅读
无法检测的新型 Linux 恶意软件利用 Dogecoin API 攻击 Docker 服务器
因严重缺陷,Rust 撤销所有 Crates 包的 API 令牌
推特称攻击者利用其 API 匹配用户名和电话号码
原文链接
https://www.zdnet.com/article/twitter-warns-of-possible-api-keys-leak/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~
推特警告称开发者 API 密钥或遭泄露相关推荐
- 速修复!CISA警告称 Zoho 服务器0day已遭在野利用
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施安全局 (CISA) 督促组织机构应用 Zoho ManageEngine 服务器的最新安全更新,修复已遭在野利用一周多的 ...
- 6月24日AppCan移动开发者大会礼品清单遭泄露
6月24日,第一届AppCan移动开发者大会将在北京国际会议中心举办,大会以"平台之上,应用无限"为主题,全景展现移动应用发展趋势.AppCan 移动技术蓝图及80万开发者的技术实 ...
- 大量开发者会将访问token和API密钥硬编码至Android应用
现如今,许多开发者仍然习惯于将access token(访问凭证)和API key(API密钥)等敏感内容编码到移动APP中去,将依托于各种第三方服务的数据资产置于风险中. 机密信息易遭泄漏 网络安全 ...
- AI一分钟 |世界级音频专家入职阿里人工智能团队iDST;亚马逊推AI摄像头,开发者专用定价249美元
一分钟AI 阿里巴巴跨物理界招人,世界级音频专家冯津伟入职人工智能团队iDST "安卓之父"离职Essential公司,报道称其离职谷歌或因桃色事件 谷歌将在下周的 NIPS大会上 ...
- 文心一言员工跳槽工资翻倍, AI 人才备受追捧;推特称其部分源代码遭泄露;Docker 撤回受争议的收费方案|极客头条
「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦,快来看今天都有哪些值得我们技术人关注的重要新闻吧. 整理 | 梦依丹 出品 | CSDN(ID:CSDNnews ...
- 星巴克在GitHub中泄漏API密钥,发现者获4000美金奖励
点击上方蓝色"程序猿DD",选择"设为星标" 回复"资源"获取独家整理的学习资料! 作者 | iso60001 来源 | https://n ...
- 小程序支付api密钥_如何避免在公共前端应用程序中公开您的API密钥
小程序支付api密钥 问题 (The Problem) All you want to do is fetch some JSON from an API endpoint for the weath ...
- html百度地图秘钥,如果获取百度地图API密钥?
要在网站上调用显示百度地图,就必须要有匹配的百度地图API密钥,百度地图API是一套为开发者免费提供的基于百度地图的应用程序接口,包括JavaScript.iOS.Andriod.静态地图.Web服务 ...
- 微软警告称Flame病毒利用Windows漏洞
微软警告称,中东爆发一种叫Flame的病毒,它利用了Windows操作系统的漏洞. 微软已经发布软件反击病毒,修补之前未发现的漏洞.微软安全响应中心资深总监麦克.瑞维(Mike Reavey)在博客中 ...
最新文章
- Codeforces 446C —— DZY Loves Fibonacci Numbers(线段树)
- 【POJ 2482】 Stars in Your Window(线段树+离散化+扫描线)
- div+css兼容性
- DirectInput:poll轮询理解
- Query 创建方法
- 2016和2017的区别就是昨晚和今早
- 主成分分析和因子分析区别与联系
- python与材料计算公式_《从问题到程序:用Python学编程和计算》——2.11 补充材料-阿里云开发者社区...
- 用于将类型从double转换为int的C#程序
- HDU-5532Almost Sorted Array LIS问题
- H.264的码率控制算法
- 【2015年第4期】大数据时代的数据挖掘 —— 从应用的角度看大数据挖掘(上)...
- show table status 参数详解
- Android读取手机通讯录
- mybatis-plus 多条件下关键字查询
- 能上QQ,不能打开网页
- Webbygram:网页版Instagram再生
- Microsoft Word 教程:如何在 Word 中创建项目符号列表、显示字数统计?
- 正确使用计算机键盘和鼠标,你真的会用鼠标吗?鼠标使用全揭秘
- 关于Python not 及is None的有趣现象(两者的区别)