Mais de 3.200 aplicativos vazam chaves de API do Twitter, permitindo invasão de contas

Nesta segunda-feira (1), a empresa de cibersegurança CloudSEK publicou um relatório bem preocupante. Segundo eles, 10.636 empresas tiveram suas chaves de API do Twitter reveladas. Destas, 4.810 empresas tiveram as duas chaves vazadas (chaves de consumo e secretas). Com as duas chaves em mãos é possível invadir as contas. Inclusive, constatou-se que 3.207 aplicativos tinham as credenciais válidas.

Leia também
Proteja sua conta! Como ativar a verificação em duas etapas no WhatsApp
Como criar uma senha realmente segura

O que é API?

API

Caso você não saiba, uma API (Application Programming Interface) é um conjunto de padrões que facilitam a troca de dados entre sistemas. No caso do Twitter, a API da rede social permite que desenvolvedores de todo o mundo conectem seus apps ou serviços à rede social de microblogs.

Quer ver um exemplo amplamente usado? O aplicativo TweetBot. Ele só é possível graças à API do Twitter. Sem ela seria impossível para qualquer desenvolvedor criar um aplicativo capaz de se comunicar com o Twitter de maneira correta e estável. Outro exemplo trivial: configurar o Instagram para postar um link em seu perfil do Twitter sempre que você publicar uma foto nova. Todas essas integrações e experiências só são possíveis graças à API.

No entanto, para funcionar, as APIs usam duas chaves. Elas são chamadas de chaves de consumo e chaves secretas. Se uma pessoa mal-intencionada (leia-se hacker) tiver acesso às duas chaves, ele poderá facilmente invadir as contas. E foi isso o que aconteceu com o Twitter. Além de invasão de contas, outro risco é a criação de um exército de bots com perfis verificados. Ironicamente, os famigerados bots são o motivo da treta entre o Twitter e o bilionário Elon Musk.

Acesso irrestrito às contas

chaves de API do Twitter

Como informado acima, 3.207 aplicativos possuem credenciais válidas, ou seja, que permitem o acesso à conta. No entanto, é preciso saber qual o nível de permissão desses aplicativos. Nem todos eles possuem permissão da API para fazer postagens ou alterar configurações da conta do usuário, tais como mudança de senha.

Depois de fazer uma análise detalhada das contas, a CloudSEK descobriu que apenas 39 aplicativos possuem chaves com acesso quase que irrestrito às contas dos usuários. Ou seja, estes 39 apps podem postar tweets, acessar as mensagens, seguir outros perfis e alterar configurações da conta, como endereço de e-mail ou senha. Em outras palavras, os cibercriminosos poderão “sequestrar” as contas.

Outra informação intrigante é que algumas das chaves vazadas pertencem a contas com perfis verificados. Isso significa que perfis grandes e conhecidos, com milhares de seguidores, estão comprometidos. O nome dos 39 aplicativos com acesso irrestrito não foi divulgado por motivos óbvios.

Quer dizer que o Twitter não é seguro?

Twitter

Calma, não é bem por aí. Na verdade, o Twitter não tem culpa nenhuma por esses vazamentos de credenciais. A culpa é dos próprios desenvolvedores. A CloudSEK explica que é comum, ao desenvolver um aplicativo móvel, o programador usar a API do Twitter para testes. Ao fazer isso eles salvam as chaves dentro do aplicativo. E é aí onde reside o problema:

Às vezes, essas credenciais não são removidas antes de implantá-las no ambiente de produção. Depois que o aplicativo é carregado na Play Store, os segredos da API estão disponíveis para qualquer pessoa acessar.

Felizmente, ter acesso às chaves de API não é um trabalho para amadores. O hacker tem que saber descompilar o aplicativo alvo para chegar às chaves de API. Depois de fazer isso, ele ainda precisará criar um outro programa que fará uso das chaves capturadas. Só então ele conseguirá invadir a conta e fazer o que quiser.

Problema descoberto, solução também

Código de programação

Em seu relatório, a CloudSEK não apenas aponta para o problema, mas diz como ele pode ser resolvido. Basta apenas que os desenvolvedores não incorporem as chaves de API no código-fonte do aplicativo.

É preciso também que os programadores sigam as diretrizes para um desenvolvimento seguro, tais como: revisão padronizada e periódica, rotinas para esconder as chaves e o uso de chaves rotativas.

Os usuários também podem fazer a parte deles. Basta verificar de vez em quando quais apps ou serviços têm acesso às suas contas. E não estou falando só do Twitter. Estou falando também do Facebook, Instagram, TikTok e outros. Outra medida de segurança importante é a ativação da autenticação em dois fatores. Tudo isso ajudará a deixar as suas contas mais seguras.

Fontes: CloudSEK via BleepingComputer

Postado por
Cearense. 37 anos. Apaixonado por tecnologia desde que usou um computador pela primeira vez, em um hoje jurássico Windows 95. Além de tech, também curto filmes, séries e jogos.
Siga em:
Compartilhe
Deixe seu comentário
Img de rastreio
Localize algo no site!