แอพมือถือหลายพันแอพรั่วคีย์ Twitter API ซึ่งบางอันทำให้ฝ่ายตรงข้ามสามารถเข้าถึงหรือเข้าควบคุมบัญชี Twitter ของผู้ใช้แอปพลิเคชันเหล่านี้ และรวบรวมกองทัพบอทเพื่อเผยแพร่ข้อมูลที่บิดเบือน สแปม และมัลแวร์ผ่านแพลตฟอร์มโซเชียลมีเดีย
นักวิจัยจาก CloudSEK ในอินเดียกล่าวว่าพวกเขาได้ระบุแอปพลิเคชั่นมือถือทั้งหมด 3,207 ตัวที่รั่วไหลข้อมูลรหัสผู้บริโภคของ Twitter และรหัสลับที่ถูกต้อง พบแอปพลิเคชั่น 230 รายการรั่วไหลโทเค็นการเข้าถึง OAuth และความลับในการเข้าถึงเช่นกัน
ข้อมูลดังกล่าวช่วยให้ผู้โจมตีสามารถเข้าถึงบัญชี Twitter ของผู้ใช้แอปพลิเคชันเหล่านี้และดำเนินการต่างๆ ได้ ซึ่งรวมถึงการอ่านข้อความ รีทวีต กดไลค์ หรือลบข้อความในนามของผู้ใช้ ลบผู้ติดตามหรือติดตามบัญชีใหม่ และไปที่การตั้งค่าบัญชีและทำสิ่งต่าง ๆ เช่นเปลี่ยนรูปภาพที่แสดง CloudSEK กล่าว
ข้อผิดพลาดของผู้พัฒนาแอปพลิเคชัน
ผู้ขายระบุว่าปัญหาเกิดจากนักพัฒนาแอปพลิเคชันที่บันทึกข้อมูลรับรองการตรวจสอบภายในแอปพลิเคชันมือถือของตนในระหว่างขั้นตอนการพัฒนา เพื่อให้พวกเขาสามารถโต้ตอบกับ API ของ Twitter ได้ API ช่วยให้นักพัฒนาบุคคลที่สามสามารถฝังฟังก์ชันและข้อมูลของ Twitter ลงในแอปพลิเคชันของตนได้
“ตัวอย่างเช่น หากแอพเกมโพสต์คะแนนสูงสุดของคุณบนฟีด Twitter ของคุณโดยตรง แอปนั้นขับเคลื่อนโดย Twitter API” CloudSEK กล่าวในรายงานการค้นพบ แม้ว่าบ่อยครั้ง นักพัฒนาซอฟต์แวร์ล้มเหลวในการลบคีย์การตรวจสอบสิทธิ์ก่อนที่จะอัปโหลดแอปไปยังร้านแอปบนอุปกรณ์เคลื่อนที่ ซึ่งจะทำให้ผู้ใช้ Twitter มีความเสี่ยงเพิ่มขึ้น ผู้จำหน่ายความปลอดภัยกล่าว
“การเปิดเผยคีย์ API แบบ 'all access' ถือเป็นการมอบกุญแจให้กับประตูหน้าอย่างแท้จริง” Scott Gerlach ผู้ร่วมก่อตั้งและ CSO ของ StackHawk ผู้ให้บริการทดสอบความปลอดภัย API กล่าว “คุณต้องเข้าใจวิธีจัดการการเข้าถึงของผู้ใช้ใน API และวิธีจัดเตรียมการเข้าถึง API อย่างปลอดภัย หากคุณไม่เข้าใจ แสดงว่าคุณได้วางตัวเองไว้ข้างหลังลูกทั้งแปด”
ระบุ CloudSEK หลายวิธีที่ผู้โจมตีสามารถใช้คีย์ API ที่เปิดเผยในทางที่ผิด และโทเค็น โดยการฝังลงในสคริปต์ ปฏิปักษ์อาจรวบรวมกองทัพบอท Twitter เพื่อเผยแพร่ข้อมูลเท็จในระดับมวลชน "การยึดบัญชีหลายบัญชีสามารถใช้เพื่อร้องเพลงเดียวกันควบคู่กันไป โดยย้ำข้อความที่ต้องเบิกจ่าย" นักวิจัยเตือน ผู้โจมตียังสามารถใช้บัญชี Twitter ที่ผ่านการตรวจสอบแล้วเพื่อแพร่กระจายมัลแวร์และสแปม และเพื่อดำเนินการโจมตีแบบฟิชชิ่งอัตโนมัติ
ปัญหา Twitter API ที่ CloudSEK ระบุนั้นคล้ายกับอินสแตนซ์ที่รายงานก่อนหน้านี้ของคีย์ API ลับ รั่วไหลหรือเปิดเผยผิดพลาดYaniv Balmas รองประธานฝ่ายวิจัยของ Salt Security กล่าว “ข้อแตกต่างที่สำคัญระหว่างกรณีนี้กับกรณีก่อนหน้าส่วนใหญ่คือ โดยปกติเมื่อคีย์ API ถูกเปิดเผย ความเสี่ยงที่สำคัญคือแอปพลิเคชัน/ผู้ขาย”
ยกตัวอย่างคีย์ AWS S3 API ที่เปิดเผยบน GitHub เขากล่าว “อย่างไรก็ตาม ในกรณีนี้ เนื่องจากผู้ใช้อนุญาตให้แอปพลิเคชันมือถือใช้บัญชี Twitter ของตนเอง ปัญหาดังกล่าวจึงทำให้พวกเขาอยู่ในระดับความเสี่ยงเดียวกันกับตัวแอปพลิเคชันเอง”
การรั่วไหลของคีย์ลับดังกล่าวเปิดโอกาสในการละเมิดและสถานการณ์การโจมตีที่อาจเกิดขึ้นได้มากมาย Balmas กล่าว
ภัยคุกคามจากอุปกรณ์เคลื่อนที่/IoT เพิ่มขึ้น
รายงานของ CloudSEK มาในสัปดาห์เดียวกับ รายงานใหม่จาก Verizon ที่เน้นการเพิ่มขึ้น 22% เมื่อเทียบเป็นรายปีในการโจมตีทางไซเบอร์ที่สำคัญที่เกี่ยวข้องกับอุปกรณ์พกพาและอุปกรณ์ IoT รายงานของ Verizon จากการสำรวจ 632 ผู้เชี่ยวชาญด้านไอทีและความปลอดภัย พบว่า 23% ของผู้ตอบแบบสอบถามกล่าวว่าองค์กรของตนประสบปัญหาด้านความปลอดภัยบนอุปกรณ์เคลื่อนที่ครั้งใหญ่ในช่วง 12 เดือนที่ผ่านมา การสำรวจแสดงให้เห็นถึงความกังวลในระดับสูงเกี่ยวกับภัยคุกคามความปลอดภัยบนมือถือ โดยเฉพาะอย่างยิ่งในภาคการค้าปลีก การเงิน การดูแลสุขภาพ การผลิต และภาครัฐ Verizon ระบุว่าการเพิ่มขึ้นของการเปลี่ยนไปใช้การทำงานระยะไกลและการทำงานแบบไฮบริดในช่วงสองปีที่ผ่านมา ส่งผลให้เกิดการใช้เครือข่ายภายในบ้านที่ไม่มีการจัดการและอุปกรณ์ส่วนบุคคลเพื่อเข้าถึงสินทรัพย์ขององค์กร
Mike Riley ผู้เชี่ยวชาญด้านโซลูชันอาวุโส ฝ่ายความปลอดภัยระดับองค์กรของ Verizon Business กล่าวว่า "การโจมตีบนอุปกรณ์พกพา รวมถึงการโจมตีแบบกำหนดเป้าหมายยังคงเพิ่มขึ้น เช่นเดียวกับการเพิ่มจำนวนอุปกรณ์เคลื่อนที่ในการเข้าถึงทรัพยากรขององค์กร “สิ่งที่โดดเด่นคือการโจมตีเพิ่มขึ้นทุกปี โดยผู้ตอบแบบสอบถามระบุว่าความรุนแรงเพิ่มขึ้นพร้อมกับจำนวนอุปกรณ์เคลื่อนที่/IoT ที่เพิ่มขึ้น”
ผลกระทบที่ใหญ่ที่สุดสำหรับองค์กรจากการโจมตีบนอุปกรณ์พกพาคือการสูญหายของข้อมูลและการหยุดทำงาน เขากล่าวเสริม
แคมเปญฟิชชิ่งที่กำหนดเป้าหมายไปยังอุปกรณ์เคลื่อนที่ก็เพิ่มสูงขึ้นเช่นกันในช่วงสองปีที่ผ่านมา Telemetry ที่ Lookout รวบรวมและวิเคราะห์จากอุปกรณ์กว่า 200 ล้านเครื่องและ 160 ล้านแอพ แสดงให้เห็นว่า 15% ของผู้ใช้ระดับองค์กรและ 47% ของผู้บริโภคประสบกับการโจมตีแบบฟิชชิงบนมือถืออย่างน้อยหนึ่งครั้งในแต่ละไตรมาสในปี 2021 ซึ่งเพิ่มขึ้น 9% และ 30% ตามลำดับ จากปีก่อนหน้า
Hank Schless ผู้จัดการอาวุโสฝ่ายโซลูชันด้านความปลอดภัยของ Lookout กล่าวว่า "เราจำเป็นต้องดูแนวโน้มการรักษาความปลอดภัยบนอุปกรณ์เคลื่อนที่ในบริบทของการปกป้องข้อมูลในคลาวด์ “การรักษาความปลอดภัยอุปกรณ์มือถือเป็นขั้นตอนแรกที่สำคัญ แต่เพื่อให้องค์กรและข้อมูลของคุณปลอดภัยอย่างสมบูรณ์ คุณจะต้องสามารถใช้ความเสี่ยงของอุปกรณ์พกพาเป็นหนึ่งในสัญญาณจำนวนมากที่ป้อนนโยบายความปลอดภัยของคุณสำหรับการเข้าถึงข้อมูลในระบบคลาวด์ภายในองค์กร และแอพส่วนตัว”
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
