Twitter met en garde contre une possible fuite de clés API

Twitter informe les développeurs d'un possible incident de sécurité qui pourrait avoir eu un impact sur leurs comptes. L'incident a été causé par des instructions incorrectes que le site web developer.twitter.com a envoyées aux navigateurs des utilisateurs. Le site developer.twitter.com est le portail où les développeurs gèrent leurs applications Twitter et les clés API qui y sont attachées, mais aussi le jeton d'accès et la clé secrète de leur compte Twitter.

Dans un courriel envoyé aux développeurs, Twitter a déclaré que son site web developer.twitter.com demandait aux navigateurs de créer et de stocker des copies des clés API, des tokens et des clés secrètes dans leur cache, une section du navigateur où les données sont enregistrées pour accélérer le processus de chargement de la page lorsque l'utilisateur accède à nouveau au même site.

Ce n'est peut-être pas un problème pour les développeurs qui utilisent leur propre navigateur, mais Twitter met en garde les développeurs qui ont pu utiliser des ordinateurs publics ou partagés pour accéder au site web developer.twitter.com - auquel cas, leurs clés API sont très probablement maintenant stockées dans ces navigateurs. "Si quelqu'un qui a utilisé le même ordinateur après vous pendant cette période temporaire savait comment accéder au cache d'un navigateur et savait ce qu'il fallait chercher, il est possible qu'il ait pu accéder aux clés et jetons que vous avez consultés", a déclaré Twitter.

publicité

Aucune indication que des clés d'API aient fuité de cette manière

"Selon les pages que vous avez visitées et les informations que vous avez consultées, cela aurait pu inclure les clés de l'API de votre application, ainsi que le jeton d'accès utilisateur et la clé secrète de votre propre compte Twitter", a déclaré Twitter. Twitter a déclaré avoir résolu le problème en modifiant le contenu mis en cache lorsque les utilisateurs accèdent au portail developer.twitter.com.

Le réseau social a également déclaré qu'il n'a aucune indication que des clés d'API aient fuité de cette manière, car un attaquant doit avoir (1) connu le bogue, et (2) eu accès au navigateur d'un développeur pour extraire les clés et les jetons.

Néanmoins, Twitter a décidé d'avertir les développeurs, juste pour être sûr. Ce problème est presque identique à un autre problème révélé par Twitter en avril dernier, lorsque l'entreprise a déclaré que certains fichiers privés envoyés par messages directs pouvaient être restés dans le cache du navigateur Firefox.

Source :