Vulnerabilidade pode expor credenciais e tokens de desenvolvedores do Twitter

Os desenvolvedores do Twitter estão sendo avisados sobre um bug de segurança que pode ter exposto as informações de credenciais de seus aplicativos, incluindo chaves confidenciais de aplicativos e tokens de acesso. Segundo o ThreatPost, o problema surgiu no cache do developer.twitter.com, hub central para desenvolvedores do Twitter que criam aplicativos de terceiros para a plataforma. Quando os desenvolvedores visitavam este site, ele armazenava temporariamente informações sobre seus aplicativos no navegador, de acordo com o aviso de segurança do Twitter enviado aos desenvolvedores.

Os aplicativos permitem que os usuários do Twitter incorporem várias plataformas em sua conta. “Se você usou um computador compartilhado para visitar developer.twitter.com com uma conta do Twitter conectada, recomendamos que gere novamente as chaves e tokens do seu aplicativo”, disse o Twitter em seu aviso de sexta-feira.

Ainda segundo o ThreatPost, um ataque que alavancasse o problema seria complexo de realizar, pois o invasor precisaria visitar um computador público logo após um desenvolvedor usar esse computador, e o desenvolvedor teria que visitar developer.twitter.com e usar certas informações confidenciais que seriam armazenadas no cache do navegador. No entanto, o Twitter alerta que, se as circunstâncias funcionarem, dependendo das páginas visitadas e das informações visualizadas, os invasores podem acessar as chaves de API do consumidor do aplicativo, o token de acesso do usuário e o segredo da conta do desenvolvedor.

As chaves da interface de programação de aplicativos (API) são um identificador exclusivo usado para autenticar um usuário, desenvolvedor ou programa de chamada para uma API, funcionando como o nome de usuário e senha que representam o aplicativo de desenvolvedor do Twitter ao fazer solicitações de API. O Twitter corrigiu o bug alterando as instruções de armazenamento em cache que o developer.twitter.com envia ao navegador, impedindo-o de armazenar informações sobre aplicativos ou contas de usuários.