Peneliti Menemukan Hampir 3.200 Aplikasi Seluler Membocorkan Kunci API Twitter

idNSA.id - Para peneliti telah menemukan daftar 3.207 aplikasi, beberapa diantaranya dapat digunakan untuk mendapatkan akses tidak sah ke akun Twitter.

Pengambilalihan tersebut dimungkinkan, berkat kebocoran informasi Consumer Key dan Consumer Secret yang sah, masing-masing, perusahaan keamanan siber yang berbasis di Singapura CloudSEK mengatakan dalam sebuah laporan.

"Dari 3.207.230 aplikasi membocorkan keempat kredensial otentikasi dan dapat digunakan untuk mengambil alih sepenuhnya Akun Twitter mereka dan dapat melakukan tindakan kritis/sensitif," kata para peneliti.

Mulai dari membaca pesan langsung hingga melakukan tindakan sewenang-wenang seperti me-retweet, menyukai dan menghapus tweet, mengikuti akun, menghapus pengikut, mengakses pengaturan akun, dan bahkan mengubah gambar profil akun.

Akses ke API Twitter memerlukan pembuatan Kunci dan Token Akses, yang bertindak sebagai nama pengguna dan kata sandi untuk aplikasi serta pengguna yang atas namanya permintaan API akan dibuat.

Oleh karena itu, aktor jahat yang memiliki informasi ini dapat membuat pasukan bot Twitter yang berpotensi dimanfaatkan untuk menyebarkan mis/disinformasi di platform media sosial.

"Ketika beberapa pengambilalihan akun dapat digunakan untuk menyanyikan nada yang sama secara bersamaan, itu hanya mengulangi pesan yang perlu dicairkan," catat para peneliti.

Terlebih lagi, dalam skenario hipotetis yang dijelaskan oleh CloudSEK, kunci API dan token yang diambil dari aplikasi seluler dapat disematkan dalam program untuk menjalankan kampanye malware skala besar melalui akun terverifikasi untuk menargetkan pengikut mereka.

Selain kekhawatiran, perlu dicatat bahwa kebocoran kunci tidak terbatas pada API Twitter saja. Di masa lalu, peneliti CloudSEK telah menemukan kunci rahasia untuk akun GitHub, AWS, HubSpot, dan Razorpay dari aplikasi seluler yang tidak terlindungi.

Untuk mengurangi serangan semacam itu, disarankan untuk meninjau kode untuk kunci API yang dikodekan secara langsung, sementara juga mengubah kunci secara berkala untuk membantu mengurangi kemungkinan risiko yang timbul dari kebocoran.