Os aplicativos permitem que os usuários do Twitter incorporem várias plataformas em sua conta. “Se você usou um computador compartilhado para visitar developer.twitter.com com uma conta do Twitter conectada, recomendamos que gere novamente as chaves e tokens do seu aplicativo”, disse o Twitter em seu aviso de sexta-feira.
Ainda segundo o ThreatPost, um ataque que alavancasse o problema seria complexo de realizar, pois o invasor precisaria visitar um computador público logo após um desenvolvedor usar esse computador, e o desenvolvedor teria que visitar developer.twitter.com e usar certas informações confidenciais que seriam armazenadas no cache do navegador. No entanto, o Twitter alerta que, se as circunstâncias funcionarem, dependendo das páginas visitadas e das informações visualizadas, os invasores podem acessar as chaves de API do consumidor do aplicativo, o token de acesso do usuário e o segredo da conta do desenvolvedor.
As chaves da interface de programação de aplicativos (API) são um identificador exclusivo usado para autenticar um usuário, desenvolvedor ou programa de chamada para uma API, funcionando como o nome de usuário e senha que representam o aplicativo de desenvolvedor do Twitter ao fazer solicitações de API. O Twitter corrigiu o bug alterando as instruções de armazenamento em cache que o developer.twitter.com envia ao navegador, impedindo-o de armazenar informações sobre aplicativos ou contas de usuários.