Miles de apps son responsables de filtrar las claves de la API de Twitter, lo que hace posible que los hackers se hagan con las cuentas de los usuarios y cometan delitos.
CloudSEK encontró 3.207 aplicaciones móviles que estaban filtrando secretos y claves de consumo de Twitter.
Twitter se integra con una serie de aplicaciones móviles, que permiten a los usuarios realizar diversas tareas. Para la integración, se necesitan claves y secretos de consumidor de la API de Twitter. Una filtración de estos datos podría dar a los actores de amenazas la capacidad de tuitear, enviar y leer mensajes directos, y participar en otras actividades potencialmente peligrosas. Un actor malintencionado podría acumular un “ejército” de puntos finales de Twitter para apoyar una campaña de engaño o infección tuiteando, retuiteando y enviando mensajes directos (DMs).
Millones de descargas
Según los académicos, aplicaciones como la banca electrónica, aplicaciones para el tránsito local, sintonizadores de radio y otras aplicaciones de este tipo tienen entre 50.000 y cinco millones de descargas.
Existe la posibilidad de que millones de cuentas de Twitter hayan sido hackeadas.
Aunque todos los propietarios de las aplicaciones fueron informados del problema, la gran mayoría no lo reconoció ni tomó ninguna medida para solucionarlo. Según los informes, Ford Motors realizó rápidamente los ajustes necesarios en la aplicación Ford Events.
La lista de aplicaciones no se hará pública hasta que otras personas hayan solucionado el problema.
Según las opiniones de varios expertos, los errores de desarrollo de las aplicaciones son la principal fuente de fugas de la API. Ocurre de vez en cuando que los desarrolladores se olvidan de eliminar las claves de acceso a Twitter.
CloudSEK recomienda a los desarrolladores que utilicen la rotación de las claves de la API para evitar este tipo de filtraciones.