Peneliti Temukan Lebih Dari 3.200 Mobile App Bocorkan API Key Twitter

Kebocoran Api Key Twitter - Para peneliti menemukan daftar 3.207 mobile app yang secara publik membocorkan API key Twitter, beberapa di antaranya mungkin digunakan untuk mendapatkan akses ilegal ke akun Twitter yang terhubung dengannya. 

Takeover tersebut dimungkinkan oleh kebocoran informasi Consumer Key dan Consumer Secret yang otentik, menurut sebuah laporan perusahaan cybersecurity yang berbasis di Singapura, CloudSEK.

"Dari 3.207 aplikasi yang diuji, 230 membocorkan keempat kredensial otentikasi dan dapat digunakan untuk takeover Akun Twitter mereka secara total dan melakukan tindakan kritis/sensitif," kata para peneliti.

Baca Juga : Awas! Akun Twitter Centang Biru Menjadi Sasaran Serangan Spear Phishing

Ini dapat mencakup dari membaca direct message, me-retweet, menyukai dan menghapus tweet, follow akun apa pun, menghapus followers, mengakses pengaturan akun, dan bahkan mengubah gambar profil akun.

Akses ke API Twitter memerlukan pembuatan secret key dan token akses, yang berfungsi sebagai username dan password untuk aplikasi.

Seorang cybercriminal yang memiliki informasi ini dapat membangun pasukan bot Twitter yang dapat digunakan untuk menyebarkan informasi yang salah/disinformasi di platform media sosial.

"Ketika beberapa takeover akun dapat digunakan untuk menyanyikan nada yang sama secara serempak, itu hanya memperkuat pesan yang perlu disebarluaskan," catat para peneliti.

How-Leaked-Twitter-API-Keys-Can-be-Used-to-Build-a-Bot-Army.pdf from System 021

Terlebih lagi, menurut CloudSEK, API key dan token yang diperoleh dari mobile app dapat diintegrasikan dalam program untuk meluncurkan kampanye malware skala besar melalui akun terverifikasi untuk menargetkan followers mereka.

Selain kekhawatiran, perlu digarisbawahi bahwa kebocoran key tidak terbatas pada API Twitter. Peneliti CloudSEK sebelumnya telah menemukan secret key untuk akun GitHub, AWS, HubSpot, dan Razorpay melalui mobile app yang tidak terlindungi.

Baca Juga : Aplikasi Chatting yang Paling Aman Digunakan, Anda Wajib Coba!

Untuk memerangi serangan seperti itu, disarankan agar kode ditinjau untuk  API key yang dikodekan secara langsung, serta kunci diputar secara teratur untuk membantu mengurangi bahaya yang ditimbulkan oleh kebocoran.

"Variabel environment adalah metode alternatif untuk merujuk ke kunci dan menyembunyikannya selain tidak menyematkannya di source file," jelas para peneliti.

"Variabel menghemat waktu sekaligus meningkatkan keamanan. Harus diperhatikan untuk tidak menyertakan file yang berisi variabel environment dalam source code."