Công ty an ninh mạng CloudSEK có trụ sở tại Singapore đề cập trong một báo cáo, do việc rò rỉ của hai trường thông tin Consumer Key và Consumer Secret hoàn toàn có thể kiểm soát 1 tài khoản.

 

Các nhà nghiên cứu cho biết: “Trong số 3.207, có đến 230 ứng dụng bị rò rỉ cả bốn thông tin xác thực và có thể được sử dụng để chiếm đoạt tài khoản Twitter của người dùng, đồng thời thực hiện nhiều hoạt động độc hại”

 

Thế đồng nghĩa với việc hacker có thể đọc tin nhắn trực tiếp, đăng lại, thích và xóa tweet, theo dõi bất kỳ tài khoản nào, xóa người theo dõi, truy cập setup và thậm chí đổi khác ảnh hồ sơ tài khoản...của người dùng.

 

Quyền truy cập vào API Twitter yêu cầu tạo khóa (Key) và mã thông báo truy cập (Access Token) có tầm quan trọng tương tự như tên người sài và mật khẩu cho những ứng dụng. Do đó, kẻ tấn công khi sở hữu thông tin này cũng đều rất có thể tạo ra một đội quân bot có khả năng lợi dụng để phát tán thông tin giả mạo, sai lệch bên trên nền tảng truyền thông xã hội của người dùng.

 

Trong một tình huống giả định được CloudSEK đưa ra, những khóa API và mã thông báo (Access Token) thu được này cũng đều rất có thể nhúng vào chương trình chạy những chiến dịch vận dụng độc hại quy mô lớn thông qua những tài khoản đã được xác minh để nhắm mục tiêu những người theo dõi của họ.

 

Phát hiện của CloudSEK cho thấy việc rò rỉ không chỉ xảy ra ở các Twitter API, mà còn xuất hiện trong các khóa bí mật cho tài khoản khoản GitHub, AWS, HubSpot và Razorpay từ các ứng dụng di động.

Để giảm thiểu các cuộc tấn công do lộ lọt thông tin gây ra, người dùng nên xem lại mã cho các khóa API được mã hóa cứng trực tiếp, đồng thời tạo các khóa định kỳ để giúp giảm rủi ro có thể xảy ra do rò rỉ.