信息來(lái)源:Cnbeta
近日推特向開(kāi)發(fā)者發(fā)布電子郵件,警告稱由于 BUG 他們的私有應(yīng)用密鑰和賬號(hào)令牌可能已經(jīng)被暴露。在這份郵件中����,推特表示這些私鑰和令牌可能被錯(cuò)誤地存儲(chǔ)在瀏覽器的緩存中���。
在電子郵件中寫(xiě)道:“在修復(fù)之前�����,如果您使用公共或共享計(jì)算機(jī)在developer.twitter.com上查看您的開(kāi)發(fā)者應(yīng)用程序密鑰和令牌�����,它們可能已經(jīng)暫時(shí)存儲(chǔ)在該計(jì)算機(jī)上的瀏覽器緩存中�����。如果在那個(gè)臨時(shí)時(shí)間段內(nèi)���,在你之后使用同一臺(tái)電腦的人知道如何訪問(wèn)瀏覽器的緩存���,并且知道該尋找什么,那么他們有可能訪問(wèn)了你查看的密鑰和令牌”���。
在郵件中����,推特表示在某些情況下開(kāi)發(fā)者自己的推特賬號(hào)憑證也可能會(huì)被曝光。和密碼一樣�����,這些私鑰�����、令牌可以被認(rèn)為是一種通行密碼���,因?yàn)樗鼈兛梢源黹_(kāi)發(fā)者與 Twitter 進(jìn)行交互���。訪問(wèn)令牌也是高度敏感的,因?yàn)槿绻槐I���,它們可以讓攻擊者在不需要密碼的情況下訪問(wèn)用戶的賬戶���。
Twitter表示,目前還沒(méi)有看到任何證據(jù)表明這些密鑰被泄露���,但出于謹(jǐn)慎的考慮,還是提醒了開(kāi)發(fā)者�����。郵件中說(shuō),可能使用過(guò)共享電腦的用戶應(yīng)該重新生成他們的應(yīng)用密鑰和令牌���。目前還不知道有多少開(kāi)發(fā)者受到該漏洞的影響����,也不知道該漏洞具體何時(shí)被修復(fù)���。Twitter發(fā)言人不愿意提供這方面的信息���。
