安全動(dòng)態(tài)

推特向開(kāi)發(fā)者警示:私有應(yīng)用密鑰和賬號(hào)令牌有暴露風(fēng)險(xiǎn)

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-09-28    瀏覽次數(shù):
 

信息來(lái)源:Cnbeta

近日推特向開(kāi)發(fā)者發(fā)布電子郵件,警告稱由于 BUG 他們的私有應(yīng)用密鑰和賬號(hào)令牌可能已經(jīng)被暴露。在這份郵件中,推特表示這些私鑰和令牌可能被錯(cuò)誤地存儲(chǔ)在瀏覽器的緩存中。

k3462083.jpg

在電子郵件中寫(xiě)道:“在修復(fù)之前,如果您使用公共或共享計(jì)算機(jī)在developer.twitter.com上查看您的開(kāi)發(fā)者應(yīng)用程序密鑰和令牌,它們可能已經(jīng)暫時(shí)存儲(chǔ)在該計(jì)算機(jī)上的瀏覽器緩存中。如果在那個(gè)臨時(shí)時(shí)間段內(nèi),在你之后使用同一臺(tái)電腦的人知道如何訪問(wèn)瀏覽器的緩存,并且知道該尋找什么,那么他們有可能訪問(wèn)了你查看的密鑰和令牌”。

在郵件中,推特表示在某些情況下開(kāi)發(fā)者自己的推特賬號(hào)憑證也可能會(huì)被曝光。和密碼一樣,這些私鑰、令牌可以被認(rèn)為是一種通行密碼,因?yàn)樗鼈兛梢源黹_(kāi)發(fā)者與 Twitter 進(jìn)行交互。訪問(wèn)令牌也是高度敏感的,因?yàn)槿绻槐I,它們可以讓攻擊者在不需要密碼的情況下訪問(wèn)用戶的賬戶。

Twitter表示,目前還沒(méi)有看到任何證據(jù)表明這些密鑰被泄露,但出于謹(jǐn)慎的考慮,還是提醒了開(kāi)發(fā)者。郵件中說(shuō),可能使用過(guò)共享電腦的用戶應(yīng)該重新生成他們的應(yīng)用密鑰和令牌。目前還不知道有多少開(kāi)發(fā)者受到該漏洞的影響,也不知道該漏洞具體何時(shí)被修復(fù)。Twitter發(fā)言人不愿意提供這方面的信息。

 
 

上一篇:2020年9月27日聚銘安全速遞

下一篇:Windows XP源代碼疑似泄密自學(xué)術(shù)界 安全專家:潛在影響不大