Para peneliti telah menemukan daftar 3.207 aplikasi seluler yang mengekspos kunci API Twitter secara jelas, beberapa di antaranya dapat digunakan untuk mendapatkan akses tidak sah ke akun Twitter yang terkait dengannya.
Pengambilalihan tersebut dimungkinkan, berkat kebocoran informasi Consumer Key dan Consumer Secret yang sah, masing-masing, perusahaan keamanan siber yang berbasis di Singapura CloudSEK mengatakan dalam sebuah laporan yang dibagikan secara eksklusif dengan The Hacker News.
“Dari 3.207.230 aplikasi membocorkan keempat kredensial otentikasi dan dapat digunakan untuk mengambil alih sepenuhnya Akun Twitter mereka dan dapat melakukan tindakan kritis/sensitif apa pun,” kata para peneliti.
Ini dapat berkisar dari membaca pesan langsung hingga melakukan tindakan sewenang-wenang seperti me-retweet, menyukai dan menghapus tweet, mengikuti akun apa pun, menghapus pengikut, mengakses pengaturan akun, dan bahkan mengubah gambar profil akun.
Akses ke API Twitter memerlukan menghasilkan kunci rahasia dan token akses, yang bertindak sebagai nama pengguna dan kata sandi untuk aplikasi serta pengguna yang atas namanya permintaan API akan dibuat.
Oleh karena itu, aktor jahat yang memiliki informasi ini dapat membuat pasukan bot Twitter yang berpotensi dimanfaatkan untuk menyebarkan mis/disinformasi di platform media sosial.
“Ketika beberapa pengambilalihan akun dapat digunakan untuk menyanyikan nada yang sama secara bersamaan, itu hanya mengulangi pesan yang perlu dicairkan,” catat para peneliti.
Terlebih lagi, dalam skenario hipotetis yang dijelaskan oleh CloudSEK, kunci API dan token yang diambil dari aplikasi seluler dapat disematkan dalam program untuk menjalankan kampanye malware skala besar melalui akun terverifikasi untuk menargetkan pengikut mereka.
Selain kekhawatiran, perlu dicatat bahwa kebocoran kunci tidak terbatas pada API Twitter saja. Di masa lalu, peneliti CloudSEK telah menemukan kunci rahasia untuk akun GitHub, AWS, HubSpot, dan Razorpay dari aplikasi seluler yang tidak terlindungi.
Untuk mengurangi serangan seperti itu, disarankan untuk meninjau kode untuk kunci API yang dikodekan secara langsung, sementara juga memutar kunci secara berkala untuk membantu mengurangi kemungkinan risiko yang timbul dari kebocoran.
“Variabel dalam lingkungan adalah cara alternatif untuk merujuk ke kunci dan menyamarkannya selain tidak menyematkannya di file sumber,” kata para peneliti.
“Variabel menghemat waktu dan meningkatkan keamanan. Perawatan yang memadai harus dilakukan untuk memastikan bahwa file yang berisi variabel lingkungan dalam kode sumber tidak disertakan.”