توییتر به توسعهدهندگان خود نسبت به احتمال افشای اطلاعات محرمانه آنها هشدار داد
امنیت یکی از مهمترین حقوق کاربران دنیای مجازی است. در دورانی زندگی میکنیم که اطلاعات شخصی افراد در بستر اینترنت وجود دارد و افشای آنها کار سختی نیست. تاکنون بارها پیش آمده که اطلاعات شخصی کاربران یک پلتفرم فاش شود؛ اما با وجود کارهایی که برای پیشگیری از این مسئله انجام میشود، باز هم کاربران نمیتوانند اطلاعات خود را در بستری ایمن قرار دهند؛ زیرا بهنظر میرسد همیشه راهی برای دستیابی به آنها وجود دارد.
امروز توییتر به توسعهدهندگان خود اعلام کرد که یک مشکل امنیتی برای این شبکه اجتماعی پیش آمده که ممکن است روی حساب کاربری این افراد تأثیر منفی بگذارد. گفته میشود این اتفاق به دلیل دستورالعملهای نادرستی است که وب سایت developer.twitter.com برای مرورگرهای کاربران ارسال کرده است.
وبسایت developer.twitter.com پورتالی است که توسعهدهندگان در آن برنامههای توییتر و کلیدهای API متصل خود را مدیریت میکنند. همچنین این بخش، اطلاعاتی مانند رمز دسترسی و کلید مخفی حساب توییتر کاربران را نیز در خود جای داده است.
توییتر امروز در ایمیلی که برای توسعهدهندگان ارسال شده اعلام کرد وب سایت مذکور به مرورگرها گفته است که از کلیدهای API، رمز دسترسی حساب و اطلاعات مخفی کاربران در داخل حافظه پنهان (Cache) خود یک کپی ایجاد کرده و آن را ذخیره کند. حافظه پنهان بخشی از مرورگر است که اطلاعات موردنیاز را ذخیره میکند. توییتر دلیل این کار را سرعتبخشیدن به روند بارگیری صفحه هنگام دسترسی مجدد کاربران به همان سایت اعلام کرده است.
البته این اتفاق همه توسعهدهندگان را تحت تأثیر قرار نمیدهد. درواقع افرادی که از مرورگر خودشان استفاده میکنند از مشکلات پیش آمده مصون هستند. توییتر به توسعهدهندگانی که ممکن است از رایانههای عمومی یا مشترک برای دسترسی به وب سایت developer.twitter.com استفاده کردهاند هشدار میدهد. در این صورت، بهاحتمال زیاد کلیدهای API آنها در آن مرورگرها ذخیره شده و آنها باید برای حذف این اطلاعات اقدام کنند.
توییتر درباره این مسئله گفت:
اگر کسی در بازه زمانی مشخص از همان رایانهای استفاده کند که شما پیشتر پشت آن نشسته بودید و بداند چگونه به حافظه پنهان مرورگر دسترسی پیدا کند و همچنین دقیقا درباره آن چیزی که باید جستوجو کند اطلاع داشته باشد، این امکان وجود دارد که به کلیدها و توکنهایی که شما مشاهده کردهاید دسترسی پیدا کند. بسته به اینکه از چه صفحاتی بازدید و چه اطلاعاتی را مشاهده کردهاید، موارد ذخیره شده متفاوت هستند. این اطلاعات میتواند شامل کلیدهای API برنامه شما، رمز دسترسی کاربر و اطلاعات مخفی حساب توییتر شما باشد.
احتمال فاش شدن اطلاعات توسعهدهندگان کم است
مدیران توییتر اعلام کردند که مشکل مذکور با تغییر محتوای ذخیرهشده هنگام دسترسی کاربران به پورتال developer.twitter.com برطرف شده است. این شبکه اجتماعی همچنین گفت هیچ نشانهای از فاششدن کلیدهای API وجود ندارد، زیرا یک مهاجم باید علاوهبر اطلاع از وجود این اشکال، برای بهدست آوردن کلیدها و توکنها به مرورگر توسعهدهنده دسترسی داشته باشد. بااینحال مسئولان این پلتفرم تصمیم گرفتند توسعهدهندگان را از این مشکل آگاه کنند تا از بروز هر مشکل احتمالی جلوگیری شود.
جان جکسون، مهندس امنیت برنامه Shutterstock، امروز به یکی از خبرگزاریهای معروف دنیای فناوری گفت:
من معتقدم که توییتر با آگاه کردن توسعهدهندگان از مشکل پیش آمده، کار درستی انجام داده است. من مطمئن هستم که آنها این مشکل را بهطور کامل مورد بررسی قرار میدهند. بهنظرم شفافیت در مورد مسائل امنیتی عملی قابل ستایش است.بهطور کلی، ذخیره اطلاعات حساس مانند کلیدهای API و رمز حساب کاربران یک عمل نادرست است. خطر کلی این مسئله باید باعث شود هرچه سریعتر مشکل رفع شود، اما احتمال بهرهبرداری مکرر سودجویان از این باگ امنیتی کم است.
جکسون همچنین در اظهارات خود درباره اتفاق مشابهی که پیشتر اطلاعات آن فاش شده بود صحبت کرد. مدتی قبل کاربران متوجه شدند فایرفاکس بعضی از فایلهای خصوصی را که ازطریق پیام شخصی ارسال میشوند، در حافظه پنهان خود ذخیره میکند. او با اشاره به این مسئله ادامه داد:
من کنجکاو هستم که بدانم توییتر چه اطلاعات حساس دیگری را ذخیره میکند، زیرا این اولین باری نیست که شبکه اجتماعی مذکور این کار را انجام میدهد.
نظر شما کاربران زومیت درباره اتفاقی که بهتازگی برای امنیت توسعهدهندگان توییتر رخ داده است چیست؟
نظرات