হাজার হাজার মোবাইল অ্যাপ টুইটার এপিআই কী PlatoBlockchain ডেটা ইন্টেলিজেন্স ফাঁস করছে। উল্লম্ব অনুসন্ধান. আ.

হাজার হাজার মোবাইল অ্যাপ টুইটার এপিআই কী লিক করছে

সময় স্ট্যাম্প: 2 আগস্ট, 2022 6:05 অপরাহ্ন

হাজার হাজার মোবাইল অ্যাপ টুইটার এপিআই কী ফাঁস করছে - যার মধ্যে কিছু প্রতিপক্ষকে এই অ্যাপ্লিকেশনগুলির ব্যবহারকারীদের টুইটার অ্যাকাউন্টগুলি অ্যাক্সেস বা দখল করার একটি উপায় দেয় এবং সামাজিক মিডিয়া প্ল্যাটফর্মের মাধ্যমে বিভ্রান্তি, স্প্যাম এবং ম্যালওয়্যার ছড়িয়ে দেওয়ার জন্য একটি বট সেনাবাহিনীকে একত্রিত করে৷

ভারত ভিত্তিক ক্লাউডএসইকে গবেষকরা বলেছেন যে তারা বৈধ টুইটার কনজিউমার কী এবং সিক্রেট কী তথ্য ফাঁস করে মোট 3,207টি মোবাইল অ্যাপ্লিকেশন সনাক্ত করেছেন। প্রায় 230টি অ্যাপ্লিকেশন OAuth অ্যাক্সেস টোকেন এবং অ্যাক্সেসের গোপনীয়তাও ফাঁস করেছে।

একসাথে, তথ্য আক্রমণকারীদের এই অ্যাপ্লিকেশনগুলির ব্যবহারকারীদের টুইটার অ্যাকাউন্টগুলি অ্যাক্সেস করার এবং বিভিন্ন ধরণের ক্রিয়া সম্পাদন করার একটি উপায় দেয়৷ এটি পড়ার বার্তা অন্তর্ভুক্ত; ব্যবহারকারীর পক্ষ থেকে বার্তা রিটুইট করা, লাইক করা বা মুছে ফেলা; অনুগামীদের অপসারণ বা নতুন অ্যাকাউন্ট অনুসরণ করা; এবং অ্যাকাউন্ট সেটিংসে যাওয়া এবং ডিসপ্লে ছবি পরিবর্তন করার মতো কাজ করা, ক্লাউডএসইকে বলেছে।

অ্যাপ্লিকেশন বিকাশকারী ত্রুটি৷

বিক্রেতা সমস্যাটির জন্য অ্যাপ্লিকেশন ডেভেলপারদের দায়ী করেছেন যে ডেভেলপমেন্ট প্রক্রিয়া চলাকালীন তাদের মোবাইল অ্যাপ্লিকেশনের মধ্যে প্রমাণীকরণের শংসাপত্রগুলি সংরক্ষণ করে যাতে তারা টুইটারের API এর সাথে যোগাযোগ করতে পারে। API তৃতীয় পক্ষের বিকাশকারীদের তাদের অ্যাপ্লিকেশনগুলিতে টুইটারের কার্যকারিতা এবং ডেটা এম্বেড করার একটি উপায় দেয়।

"উদাহরণস্বরূপ, যদি একটি গেমিং অ্যাপ সরাসরি আপনার টুইটার ফিডে আপনার উচ্চ স্কোর পোস্ট করে, এটি Twitter API দ্বারা চালিত হয়," CloudSEK তার ফলাফলের একটি প্রতিবেদনে বলেছে। প্রায়শই, যদিও, বিকাশকারীরা একটি মোবাইল অ্যাপ স্টোরে অ্যাপ আপলোড করার আগে প্রমাণীকরণ কীগুলি সরাতে ব্যর্থ হয়, যার ফলে টুইটার ব্যবহারকারীরা উচ্চতর ঝুঁকির মুখোমুখি হয়, নিরাপত্তা বিক্রেতা বলেছেন।

"একটি 'সমস্ত অ্যাক্সেস' API কী প্রকাশ করা মূলত সামনের দরজার চাবিগুলিকে দূরে সরিয়ে দিচ্ছে," স্কট গারলাচ বলেছেন, StackHawk-এর সহ-প্রতিষ্ঠাতা এবং CSO, API নিরাপত্তা পরীক্ষার পরিষেবা প্রদানকারী৷ “আপনাকে বুঝতে হবে কীভাবে একটি API-তে ব্যবহারকারীর অ্যাক্সেস পরিচালনা করতে হয় এবং কীভাবে নিরাপদে API-এ অ্যাক্সেসের ব্যবস্থা করতে হয়। আপনি যদি তা না বুঝতে পারেন তবে আপনি নিজেকে আট বলের পিছনে ফেলে দিয়েছেন।

CloudSEK শনাক্ত করা হয়েছে একাধিক উপায়ে আক্রমণকারীরা উন্মুক্ত API কীগুলির অপব্যবহার করতে পারে এবং টোকেন। এগুলিকে একটি স্ক্রিপ্টে এম্বেড করার মাধ্যমে, একটি প্রতিপক্ষ সম্ভাব্যভাবে একটি টুইটার বট সেনাবাহিনীকে একত্রিত করতে পারে যাতে ব্যাপক আকারে বিভ্রান্তি ছড়াতে পারে। "একাধিক অ্যাকাউন্ট টেকওভারগুলি একই সুরে একই সুর গাইতে ব্যবহার করা যেতে পারে, যে বার্তাটি বিতরণ করা দরকার তা পুনরাবৃত্তি করে," গবেষকরা সতর্ক করেছেন। আক্রমণকারীরা ম্যালওয়্যার এবং স্প্যাম ছড়াতে এবং স্বয়ংক্রিয় ফিশিং আক্রমণ চালানোর জন্য যাচাইকৃত টুইটার অ্যাকাউন্ট ব্যবহার করতে পারে।

ক্লাউডএসইকে চিহ্নিত করা টুইটার এপিআই সমস্যাটি গোপন API কীগুলির পূর্বে রিপোর্ট করা ঘটনাগুলির অনুরূপ ভুলভাবে ফাঁস বা প্রকাশ করা হচ্ছে, ইয়ানিভ বালমাস বলেছেন, সল্ট সিকিউরিটির গবেষণার ভাইস প্রেসিডেন্ট। "এই ক্ষেত্রে এবং বেশিরভাগ পূর্ববর্তীগুলির মধ্যে প্রধান পার্থক্য হল যে সাধারণত যখন একটি API কী উন্মুক্ত করা হয়, তখন অ্যাপ্লিকেশন/বিক্রেতার জন্য বড় ঝুঁকি থাকে।"

GitHub এ উন্মুক্ত AWS S3 API কীগুলি নিন, উদাহরণস্বরূপ, তিনি বলেছেন। "এই ক্ষেত্রে, যাইহোক, যেহেতু ব্যবহারকারীরা মোবাইল অ্যাপ্লিকেশনটিকে তাদের নিজস্ব টুইটার অ্যাকাউন্ট ব্যবহার করার অনুমতি দেয়, সমস্যাটি আসলে তাদের অ্যাপ্লিকেশনটির মতো একই ঝুঁকির স্তরে রাখে।"

বালমাস বলেছেন, গোপন কীগুলির এই ধরনের ফাঁস অসংখ্য সম্ভাব্য অপব্যবহার এবং আক্রমণের পরিস্থিতির সম্ভাবনা উন্মুক্ত করে।

মোবাইল/আইওটি হুমকিতে বৃদ্ধি

CloudSEK এর রিপোর্ট একই সপ্তাহে আসে Verizon থেকে একটি নতুন রিপোর্ট যা মোবাইল এবং আইওটি ডিভাইসের সাথে জড়িত বড় সাইবার আক্রমণে বছরে 22% বৃদ্ধি পেয়েছে। 632 জন আইটি এবং নিরাপত্তা পেশাদারদের একটি সমীক্ষার উপর ভিত্তি করে Verizon-এর রিপোর্ট, উত্তরদাতাদের 23% বলেছেন যে তাদের সংস্থাগুলি গত 12 মাসে একটি বড় মোবাইল নিরাপত্তা সমঝোতার সম্মুখীন হয়েছে৷ সমীক্ষাটি মোবাইল নিরাপত্তার হুমকির বিষয়ে বিশেষ করে খুচরা, আর্থিক, স্বাস্থ্যসেবা, উত্পাদন এবং পাবলিক সেক্টরে উচ্চ স্তরের উদ্বেগ দেখিয়েছে। ভেরিজন গত দুই বছরে দূরবর্তী এবং হাইব্রিড কাজের স্থানান্তর এবং এন্টারপ্রাইজ সম্পদ অ্যাক্সেস করার জন্য অব্যবস্থাপিত হোম নেটওয়ার্ক এবং ব্যক্তিগত ডিভাইসের ব্যবহারে বিস্ফোরণকে দায়ী করেছে।

"মোবাইল ডিভাইসে আক্রমণ - টার্গেট করা আক্রমণ সহ - ক্রমাগত বৃদ্ধি পাচ্ছে, যেমনটি কর্পোরেট সংস্থানগুলি অ্যাক্সেস করার জন্য মোবাইল ডিভাইসের প্রসার ঘটছে," বলেছেন মাইক রিলি, সিনিয়র সলিউশন বিশেষজ্ঞ, ভেরিজন বিজনেসের এন্টারপ্রাইজ সিকিউরিটি৷ "যা দাঁড়িয়েছে তা হল যে আক্রমণগুলি বছরের পর বছর বেড়ে চলেছে, উত্তরদাতারা বলেছেন যে মোবাইল/আইওটি ডিভাইসের সংখ্যা বৃদ্ধির সাথে সাথে তীব্রতা বেড়েছে।"

মোবাইল ডিভাইসে আক্রমণ থেকে সংস্থাগুলির জন্য সবচেয়ে বড় প্রভাব ছিল ডেটা হারানো এবং ডাউনটাইম, তিনি যোগ করেন।

গত দুই বছরে মোবাইল ডিভাইসকে লক্ষ্য করে ফিশিং প্রচারাভিযানও বেড়েছে। 200 মিলিয়নেরও বেশি ডিভাইস এবং 160 মিলিয়ন অ্যাপ থেকে লুকআউট যে টেলিমেট্রি সংগ্রহ করেছে এবং বিশ্লেষণ করেছে তা দেখিয়েছে যে 15% এন্টারপ্রাইজ ব্যবহারকারী এবং 47% গ্রাহক 2021-এ প্রতি ত্রৈমাসিকে কমপক্ষে একটি মোবাইল ফিশিং আক্রমণের সম্মুখীন হয়েছেন - যথাক্রমে 9% এবং 30% বৃদ্ধি, আগের বছর থেকে।

"ক্লাউডে ডেটা সুরক্ষিত করার প্রেক্ষাপটে আমাদের মোবাইলে নিরাপত্তা প্রবণতাগুলি দেখতে হবে," বলেছেন হ্যাঙ্ক শ্লেস, সিনিয়র ম্যানেজার, লুকআউটের নিরাপত্তা সমাধান৷ “মোবাইল ডিভাইসটি সুরক্ষিত করা একটি গুরুত্বপূর্ণ প্রথম পদক্ষেপ, কিন্তু আপনার সংস্থা এবং এর ডেটা সম্পূর্ণরূপে সুরক্ষিত করার জন্য, আপনাকে ক্লাউড, অন-প্রিম-এ ডেটা অ্যাক্সেস করার জন্য আপনার সুরক্ষা নীতিগুলিকে ফিড করে এমন অনেকগুলি সংকেতের মধ্যে একটি হিসাবে মোবাইল ঝুঁকি ব্যবহার করতে সক্ষম হতে হবে। , এবং ব্যক্তিগত অ্যাপ।"

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া