Các nhà nghiên cứu cho biết: trong số 3.207, có 230 ứng dụng bị rò rỉ cả 4 thông tin xác thực và có thể được sử dụng để chiếm đoạt tài khoản Twitter của người dùng, đồng thời thực hiện nhiều hoạt động độc hại. Các hoạt động có thể thực hiện bao gồm: đọc tin nhắn trực tiếp, thực hiện các hành động tùy ý như đăng lại, thích và xóa tweet, theo dõi bất kỳ tài khoản nào, xóa người theo dõi, truy cập cài đặt tài khoản và thậm chí thay đổi ảnh hồ sơ tài khoản.
Quyền truy cập vào Twitter API yêu cầu tạo Key và Access Token, đóng vai trò tương tự như tên người dùng và mật khẩu cho các ứng dụng, cho phép thực hiện nhiều hành động trên tài khoản thông qua API này. Do đó, tin tặc sở hữu thông tin này có thể tạo ra nhiều bot Twitter để phát tán thông tin sai lệch trên nền tảng mạng xã hội.
Trong một tình huống giả định được đưa ra bởi CloudSEK (Ấn Độ), các khóa API và token thu thập được từ các ứng dụng dành cho thiết bị di động có thể được nhúng vào một chương trình. Cho phép tin tặc thực hiện các chiến dịch phần mềm độc hại quy mô lớn thông qua các tài khoản đã được xác minh để nhắm mục tiêu những người theo dõi trên tài khoản.
Phát hiện của CloudSEK cho thấy việc rò rỉ không chỉ xảy ra ở các Twitter API, mà còn xuất hiện trong các khóa bí mật cho tài khoản khoản GitHub, AWS, HubSpot và Razorpay từ các ứng dụng di động.
Để giảm thiểu các cuộc tấn công do lộ lọt thông tin gây ra, người dùng nên kiểm tra lại mã cho các khóa API được mã hóa cứng trực tiếp, đồng thời tạo các khóa định kỳ để giúp giảm rủi ro có thể xảy ra do rò rỉ.
ĐT
14:00 | 02/03/2022
10:00 | 21/12/2022
10:00 | 26/04/2021
08:00 | 12/03/2021
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
09:00 | 13/02/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
15:00 | 18/12/2023
Ngày 12/12, Kyivstar - nhà mạng lớn nhất Ukraine hứng chịu một cuộc tấn công mạng lớn, khiến hàng triệu người dùng mất kết nối di động và Internet. Đáng chú ý sự cố gây ảnh hưởng đến hệ thống cảnh báo không kích của nước này.
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024