Bir grup siber güvenlik araştırmacısı geliştiricilerin 3 bin 200 uygulama üzerinde kullandığı hatalı bir teknik nedeniyle Twitter'ın hesaplarının ele geçirilebildiği tespit etti. Bu hata nedeniyle Twitter hesabı tamamen ele geçirebiliyordu.
Ancak hesabı ele geçiren kişi yalnızca uygulama geliştiricisi olduğu için şimdiye kadar olumsuz bir durum bildirilmedi.
Mobil uygulamaları Twitter ile entegre ederken, geliştiricilere, mobil uygulamalarının Twitter API'si ile etkileşime girmesine olanak tanıyan özel kimlik doğrulama anahtarları tahsis edilir. Bir kullanıcı Twitter hesabını bu mobil uygulama ile ilişkilendirdiğinde ise bu özel anahtarlar uygulamanın kullanıcı adına Twitter üzerinden oturum açma, tweet oluşturma, DM gönderme vb. gibi işlemler yapmasına olanak tanır. Hata da API anahtarları ile ilgili bir hatadan kaynaklandı.
Bu kimlik doğrulama anahtarları Twitter'a tam erişim imkanı sunabildiği için bir mobil uygulamada şifresiz bir şekilde saklanmaması gerekiyor. Hatta geliştiricilerin kimlik doğrulama anahtarlarını güvenlik amacıyla sık sık değiştirmesi gerekiyor. Ancak geliştiriciler API anahtarını şifrelemeden veritabınında tuttuğu için binlerce Twitter hesabı ele geçirilme riskiyle karşı karşıya kaldı.
Siber güvenlik araştırmaları tespit edilen sorunu uygulama geliştiricilerine bildirdi. Ancak binlerce Twitter kullanıcısını savunmasız bırakacağı gerekçesiyle herhangi bir liste yayınlamadı.
Bu uygulamalardan bir tanesi de Ford Events uygulamasıydı. Bu sorun Ford'a bildirilir bildirilmez uygulama hemen güncellendi.
KAYNAK : BleepingComputer