Bir hata nedeniyle 3 bin 200 uygulama üzerinden Twitter hesapları ele geçirildi

Bir küme siber güvenlik araştırmacısı geliştiricilerin 3 bin 200 uygulama üzerinde kullandığı yanılgılı bir teknik nedeniyle Twitter’ın hesaplarının ele geçirilebildiği tespit etti. Bu kusur nedeniyle Twitter hesabı büsbütün ele geçirebiliyordu.

Ancak hesabı ele geçiren kişi sırf uygulama geliştiricisi olduğu için şimdiye kadar olumsuz bir durum bildirilmedi.

Mobil uygulamaları Twitter ile entegre ederken, geliştiricilere, taşınabilir uygulamalarının Twitter API’si ile etkileşime girmesine imkan tanıyan özel kimlik doğrulama anahtarları tahsis edilir. Bir kullanıcı Twitter hesabını bu taşınabilir uygulama ile ilişkilendirdiğinde ise bu özel anahtarlar uygulamanın kullanıcı ismine Twitter üzerinden oturum açma, tweet oluşturma, DM gönderme vb. üzere süreçler yapmasına imkan tanır. Kusur da API anahtarları ile ilgili bir yanılgıdan kaynaklandı.

Bu kimlik doğrulama anahtarları Twitter’a tam erişim imkanı sunabildiği için bir taşınabilir uygulamada şifresiz bir biçimde saklanmaması gerekiyor. Hatta geliştiricilerin kimlik doğrulama anahtarlarını güvenlik hedefiyle sık sık değiştirmesi gerekiyor. Lakin geliştiriciler API anahtarını şifrelemeden veritabınında tuttuğu için binlerce Twitter hesabı ele geçirilme riskiyle karşı karşıya kaldı.

Siber güvenlik araştırmaları tespit edilen sorunu uygulama geliştiricilerine bildirdi. Lakin binlerce Twitter kullanıcısını savunmasız bırakacağı gerekçesiyle rastgele bir liste yayınlamadı.

Bu uygulamalardan bir tanesi de Ford Events uygulamasıydı. Bu sorun Ford’a bildirilir bildirilmez uygulama çabucak güncellendi.

KAYNAK: BLEEPİNGCOMPUTER

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir