توییتر به توسعه‌دهندگان خود نسبت به احتمال افشای اطلاعات محرمانه آن‌‌ها هشدار داد

توییتر به توسعه‌دهندگان خود نسبت به احتمال افشای اطلاعات محرمانه آن‌‌ها هشدار داد

توییتر با ارسال ایمیلی به توسعه‌دهندگان خود هشدار داد ممکن است بعضی از اطلاعات آن‌ها مانند کلید API و رمز حسابشان فاش شده باشد.

امنیت یکی از مهم‌ترین حقوق کاربران دنیای مجازی است. در دورانی زندگی می‌کنیم که اطلاعات شخصی افراد در بستر اینترنت وجود دارد و افشای آن‌ها کار سختی نیست. تاکنون بارها پیش آمده که اطلاعات شخصی کاربران یک پلتفرم فاش شود؛ اما با وجود کارهایی که برای پیشگیری از این مسئله انجام می‌شود، باز هم کاربران نمی‌توانند اطلاعات خود را در بستری ایمن قرار دهند؛ زیرا به‌نظر می‌رسد همیشه راهی برای دستیابی به آن‌ها وجود دارد.

امروز توییتر به توسعه‌دهندگان خود اعلام کرد که یک مشکل امنیتی برای این شبکه اجتماعی پیش آمده که ممکن است روی حساب کاربری این افراد تأثیر منفی بگذارد. گفته می‌شود این اتفاق به دلیل دستورالعمل‌های نادرستی است که وب سایت developer.twitter.com برای مرورگرهای کاربران ارسال کرده است.

وب‌سایت developer.twitter.com پورتالی است که توسعه‌دهندگان در آن برنامه‌های توییتر و کلیدهای API متصل خود را مدیریت می‌کنند. همچنین این بخش، اطلاعاتی مانند رمز دسترسی و کلید مخفی حساب توییتر کاربران را نیز در خود جای داده است.

توییتر امروز در ایمیلی که برای توسعه‌دهندگان ارسال شده اعلام کرد وب‌ سایت مذکور به مرورگرها گفته است که از کلیدهای API، رمز دسترسی حساب و اطلاعات مخفی کاربران در داخل حافظه پنهان (Cache) خود یک کپی ایجاد کرده و آن‌ را ذخیره کند. حافظه پنهان بخشی از مرورگر است که اطلاعات موردنیاز را ذخیره می‌کند. توییتر دلیل این کار را سرعت‌بخشیدن به روند بارگیری صفحه هنگام دسترسی مجدد کاربران به همان سایت اعلام کرده است.

البته این اتفاق همه توسعه‌دهندگان را تحت تأثیر قرار نمی‌دهد. درواقع افرادی که از مرورگر خودشان استفاده می‌کنند از مشکلات پیش آمده مصون هستند. توییتر به توسعه‌دهندگانی که ممکن است از رایانه‌های عمومی یا مشترک برای دسترسی به وب سایت developer.twitter.com استفاده کرده‌اند هشدار می‌دهد. در این صورت، به‌احتمال زیاد کلیدهای API آن‌ها در آن مرورگرها ذخیره شده و آن‌ها باید برای حذف این اطلاعات اقدام کنند.

توییتر درباره این مسئله گفت:

اگر کسی در بازه زمانی مشخص از همان رایانه‌‌ای استفاده کند که شما پیش‌تر پشت آن نشسته بودید و بداند چگونه به حافظه پنهان مرورگر دسترسی پیدا کند و همچنین دقیقا درباره آن چیزی که باید جست‌وجو کند اطلاع داشته باشد، این امکان وجود دارد که به کلیدها و توکن‌هایی که شما مشاهده کرده‌اید دسترسی پیدا کند. بسته به اینکه از چه صفحاتی بازدید و چه اطلاعاتی را مشاهده کرده‌اید، موارد ذخیره شده متفاوت هستند. این اطلاعات می‌تواند شامل کلیدهای API برنامه شما، رمز دسترسی کاربر و اطلاعات مخفی حساب توییتر شما باشد.

لوگوی توییتر

احتمال فاش شدن اطلاعات توسعه‌دهندگان کم است

مدیران توییتر اعلام کردند که مشکل مذکور با تغییر محتوای ذخیر‌ه‌شده هنگام دسترسی کاربران به پورتال developer.twitter.com برطرف شده است. این شبکه اجتماعی همچنین گفت هیچ نشانه‌ای از فاش‌شدن کلیدهای API وجود ندارد، زیرا یک مهاجم باید علاوه‌بر اطلاع از وجود این اشکال، برای به‌دست آوردن کلیدها و توکن‌ها به مرورگر توسعه‌دهنده دسترسی داشته باشد. بااین‌حال مسئولان این پلتفرم تصمیم گرفتند توسعه‌دهندگان را از این مشکل آگاه کنند تا از بروز هر مشکل احتمالی جلوگیری شود.

جان جکسون، مهندس امنیت برنامه Shutterstock، امروز به یکی از خبرگزاری‌های معروف دنیای فناوری گفت:

من معتقدم که توییتر با آگاه کردن توسعه‌دهندگان از مشکل پیش آمده، کار درستی انجام داده است. من مطمئن هستم که آن‌ها این مشکل را به‌طور کامل مورد بررسی قرار می‌دهند. به‌نظرم شفافیت در مورد مسائل امنیتی عملی قابل ستایش است.

به‌طور کلی، ذخیره اطلاعات حساس مانند کلید‌های API و رمز حساب کاربران یک عمل نادرست است. خطر کلی این مسئله باید باعث شود هرچه سریع‌تر مشکل رفع شود، اما احتمال بهره‌برداری مکرر سودجویان از این باگ امنیتی کم است.

جکسون همچنین در اظهارات خود درباره اتفاق مشابهی که پیش‌تر اطلاعات آن فاش شده بود صحبت کرد. مدتی قبل کاربران متوجه شدند فایرفاکس بعضی از فایل‌های خصوصی را که ازطریق پیام شخصی ارسال می‌شوند، در حافظه پنهان خود ذخیره می‌کند. او با اشاره به این مسئله ادامه داد:

من کنجکاو هستم که بدانم توییتر چه اطلاعات حساس دیگری را ذخیره می‌کند، زیرا این اولین باری نیست که شبکه اجتماعی مذکور این کار را انجام می‌دهد.

نظر شما کاربران زومیت درباره اتفاقی که به‌تازگی برای امنیت توسعه‌دهندگان توییتر رخ داده است چیست؟


منبع zdnet

از سراسر وب

  دیدگاه
کاراکتر باقی مانده

بیشتر بخوانید