3,000 多个应用程序发现溢出 Twitter API 密钥，机器人大军面临风险

想建立自己的军队吗？由于 API 密钥从应用程序中泄漏，CloudSEK 的工程师发布了一份关于如何在机器人和 Twitter 方面做到这一点的报告。

该公司的研究人员表示，他们发现了 3,207 个泄露 Twitter API 密钥的应用程序，这些密钥可用于访问甚至完全接管 Twitter 帐户。

Twitter 有用地公开了一个 API，以允许开发人员访问微博平台。有了它，开发人员可以使用诸如阅读和发送推文和直接消息、关注和取消关注用户等功能。事实证明，它有时会引起争议，最近 Elon Musk 的法律团队抱怨 API 速率限制。基本上，马斯克声称他无法确定有多少 Twitter 账户是由机器人运行的，或者是不真实的。

相同的 API 已证明对开发人员来说是一个福音，他们的工作因该功能而变得更轻松，尽管它们偶尔也会对用户造成刺激（例如，某些游戏会将最近的分数添加到用户的 Twitter 时间线中。）

谁需要机器人军队？

然而，API 并不是真正的问题。问题在于为 API 访问提供给开发人员的身份验证密钥以及这些密钥的存储方式。是的，根据安全机构的说法，密钥有时以可访问的方式存储在代码中。给出了开发移动应用程序的示例，其中 API 用于测试，然后将凭据保存在应用程序中。然后，随着应用程序投入生产，密钥并没有被删除。不法分子可以简单地下载应用程序，对其进行反编译并获取 API 密钥。

“因此，可以从这里收集大量 API 密钥和令牌，为 Twitter 机器人大军做好准备，”研究人员说。

至于用这样的军队能做什么？CloudSEK 提出的场景包括传播错误信息、从所谓的受信任帐户发起恶意软件攻击、垃圾邮件和不可避免的网络钓鱼。

在 3,207 个泄露的应用程序中，有 57 个拥有 Twitter API 的高级或企业订阅（据研究人员称，每月费用为 149 美元），并且一些泄露的凭据属于经过验证的 Twitter 帐户。230 人泄露了足够的凭据以允许完整的帐户接管。

可以做什么？答案只是很好的做法。虽然在现代开发世界中可能不是很流行，但 CloudSEK 建议进行适当的版本控制，包括代码审查和批准。应旋转键并建议将它们隐藏在变量中。

研究人员写道：“应注意确保源代码中不包含包含环境变量的文件。”

虽然在代码中留下秘密对于我们每周的《谁，我？》来说似乎是一个有趣的轶事。列（Register 读者承认他们在追求 IT 卓越的过程中所犯的错误），该报告证明了伪劣的编码实践仍然存在并且可能对受影响的组织和帐户造成潜在的灾难性后果。