Theo TheHackerNews, công ty an ninh mạng CloudSEK có trụ sở tại Singapore nói việc lạm dụng những API của Twitter có thể thực hiện được nhờ vào việc rò rỉ thông tin khóa công cộng và khóa bí mật.

Các nhà nghiên cứu cho biết trong số 3.207 trên, có 230 ứng dụng rò rỉ cả 4 thông tin xác thực và có thể bị dùng để tiếp quản toàn bộ tài khoản Twitter của người dùng, từ đó có thể thực hiện bất kỳ hành động quan trọng nào. Phạm vi bao gồm từ đọc tin nhắn trực tiếp, đăng lại, thích và xóa tweet, theo dõi bất kỳ tài khoản nào, xóa người theo dõi, truy cập cài đặt và thậm chí thay đổi ảnh hồ sơ tài khoản.

Quyền truy cập vào API Twitter yêu cầu tạo khóa và mã thông báo truy cập, đóng vai trò như tên người dùng và mật khẩu cho các ứng dụng. Do đó, kẻ tấn công khi sở hữu thông tin này có thể tạo ra một đội quân bot có khả năng lợi dụng để phát tán thông tin giả mạo trên nền tảng truyền thông xã hội.

Trong một tình huống giả định được CloudSEK phân tích, các API và mã thông báo thu được này có thể nhúng vào chương trình chạy các chiến dịch phần mềm độc hại quy mô lớn thông qua các tài khoản đã được xác minh để nhắm mục tiêu những người theo dõi của họ.

Để giảm thiểu việc trở thành công cụ cho các cuộc tấn công, các nhà nghiên cứu khuyên người dùng nên thường xuyên kiểm tra việc cấp API của Twitter cho các ứng dụng, cũng như định kỳ thay đổi các khóa nhằm giảm rủi ro rò rỉ.