Twitter警告开发人员可能暴露的API密钥和访问令牌

Twitter Inc.警告开发人员，他们自己的Twitter帐户的应用程序编程接口密钥，用户访问令牌和令牌密钥可能已在浏览器缓存中公开。

Twitter在周五给开发者的通知中说，它们可能已经被临时存储在公共或共享计算机上的浏览器缓存中。通知写道：“如果在那个临时时间段内在您之后使用同一台计算机的人知道如何访问浏览器的缓存，并且知道要查找的内容，则很可能他们可以访问您所查看的密钥和令牌。”

该警告仅适用于开发人员使用公用或共享计算机的情况，不适用于未使用公用计算机或共享计算机的情况。从那以后，Twitter更改了发送给浏览器的缓存指令，以阻止其存储有关开发人员应用程序或帐户的信息，以防止将来发生这种情况。

如果开发人员使用共享计算机，则Twitter建议他们重新生成其应用程序密钥和令牌。

“由于数千亿美元的在线业务依靠API来平稳运行，因此这种无处不在的增长使API成为试图利用这些连接点漏洞的恶意黑客的多汁目标，”应用保护公司PerimeterX Inc.的安全宣传员Ameet Naik 。，告诉SiliconANGLE。“泄漏的密钥和安全令牌通向黑暗的网络，并用于针对API端点的自动攻击。”

Naik表示，在PerimeterX的研究中，它发现在许多网站和应用程序中，来自API端点的登录请求中有75%以上是恶意的。

Naik说：“ API攻击的增长是由于一个简单的事实，即与传统的基于浏览器的僵尸网络攻击相比，它们更易于安装且更经济，同时更难检测。” “要击败API机器人，企业需要一种新的防御方法，该方法由机器学习，复杂的行为建模和恒定的实时反馈循环驱动。开发人员必须采取措施，以确保使用密钥库正确保护API密钥和安全令牌。”

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！