Twitter(ツイッター)が開発者に、バグに関する警告をメールで送った。そのバグにより、アプリケーションの秘密鍵やアカウントのトークンが漏洩していた可能性がある。
そのメールの中で同社は、秘密鍵とトークンが誤ってブラウザーのキャッシュに不正に保存されていたかもしれないと述べている。
「この修正が行われるの前に、developer.twitter.comで開発者アプリのキーやトークンを閲覧するために公共のコンピュータや共有コンピュータを使用した場合、そのコンピュータ上のブラウザのキャッシュにそれらが一時的に保存されていた可能性がある。その一時的な時間内で、あなたの後に同じコンピュータを使用した人がブラウザのキャッシュにアクセスする方法を知り、何を探すべきかを知っていた場合、あなたが閲覧したキーやトークンにアクセスした可能性があります」とメールで述べられている。
またそのメールによると、場合によっては開発者自身のTwitterアカウントのアクセストークンも流出した可能性があるという。
Twitterが被害者の開発者に送ったメール(スクリーンショット:TechCrunch)
これらの秘密鍵やトークンは、開発者に代わってツイッターとのやりとりに使用できるため、パスワードと同様に秘密とされているものだ。アクセストークンも非常に機密性の高いもので、盗まれた場合、攻撃者はパスワードを必要とせずにユーザーのアカウントにアクセスすることができる。
ツイッターによると、これらのキーが悪用された証拠はまだないが、万一のためにデベロッパーに警告したという。メールは、共有コンピューターを使ったかもしれない人はアプリケーションのキーとトークンを変更せよ、と勧めている。
このバグの被害者となった開発者の数や、バグがいつ修復されたかについてはまだわかっていない。ツイッターの広報担当者は、数字を提供しなかった。
ツイッターは2020年6月に、広告を掲載しているビジネスユーザーはそのプライベートな情報をブラウザーのキャッシュに不正に保存されていた可能性があると指摘している。
関連記事
・Twitterの暗号通貨詐欺の元凶は内部ツールに不正アクセスした一人のハッカー
・Twitterがビジネスユーザーの個人データ漏洩を発表
カテゴリー:セキュリティ
タグ:Twitter
[原文へ]
(翻訳:iwatani、a.k.a. hiwa)
- Original:https://jp.techcrunch.com/2020/09/26/2020-09-25-twitter-developer-keys-exposed/
- Source:TechCrunch Japan
- Author:Zack Whittaker
Amazonベストセラー
Now loading...