Bộ Thông tin và Truyền thông MINISTRY OF INFORMATION AND COMMUNICATIONS

Twitter cảnh báo các nhà phát triển về lỗi liên quan đến bảo mật

Twitter đã khắc phục sự cố bộ nhớ đệm có thể làm lộ mã thông tin xác thực và khóa API (Application Programming Interface - giao diện lập trình ứng dụng) của nhà phát triển.

Các nhà phát triển cho nền tảng Twitter đang được cảnh báo về một lỗi bảo mật có thể đã làm lộ thông tin xác thực ứng dụng của họ - bao gồm các khóa các ứng dụng nhạy cảm và mã thông báo truy cập.

Theo thông báo bảo mật Twitter gửi đến các nhà phát triển và được chia sẻ trên Twitter vào ngày 25/9, sự cố nói trên bắt nguồn từ lỗi bộ nhớ đệm trong developer.twitter.com. Khi các nhà phát triển truy cập vào trang web này, nó sẽ tạm thời lưu trữ thông tin về các ứng dụng của họ trong bộ nhớ cache của trình duyệt trên máy tính nội bộ.

Trang web developer.twitter.com là trung tâm dành cho các nhà phát triển Twitter, những người tạo ra các ứng dụng của bên thứ ba cho nền tảng Twitter. Các ứng dụng này cho phép người dùng Twitter kết hợp nhiều nền tảng vào tài khoản Twitter của họ, ví dụ, OutTwit, một ứng dụng Windows, cho phép người dùng truy cập Twitter qua ứng dụng email Outlook của Microsoft.

Twitter cho biết trong một thông báo: "Nếu bạn đã sử dụng máy tính dùng chung để truy cập developer.twitter.com bằng tài khoản Twitter đã đăng nhập, chúng tôi khuyên bạn nên tạo lại mã thông báo và khóa ứng dụng của mình".

Trên thực tế, một cuộc tấn công bằng cách tận dụng sự cố này sẽ rất phức tạp, không hề đơn giản. Kẻ tấn công cần phải truy cập vào một máy tính công cộng (trong thư viện chẳng hạn) ngay sau khi máy tính này được một nhà phát triển ứng dụng cho nền tảng Twitter sử dụng để truy cập developer.twitter.com, và dùng một số thông tin nhạy cảm nhất định, sau đó những thông tin này sẽ được lưu trữ trong bộ nhớ cache của trình duyệt.

Tuy nhiên, Twitter cho biết nếu tình huống này diễn ra thuận lợi, tùy thuộc vào các trang được truy cập và thông tin được xem, kẻ tấn công có thể sẽ truy cập được vào khóa API người dùng ứng dụng của nhà phát triển, và mã thông báo truy cập.

Thông tin này rất quan trọng để bảo mật các tài khoản Twitter và nhà phát triển. Khóa giao diện lập trình ứng dụng (API) là một mã định danh duy nhất được sử dụng để xác thực người dùng, nhà phát triển hoặc các chương trình gọi đến API.

Twitter đã nói trong một mô tả về các khóa API Twitter của họ, "hãy nghĩ những khóa này như tên người dùng và mật khẩu đại diện cho ứng dụng nhà phát triển Twitter khi thực hiện các yêu cầu API". Trong khi đó, mã xác thực truy cập là thông tin xác thực dành riêng cho người dùng được sử dụng để xác thực các yêu cầu API OAuth.

Twitter đã sửa lỗi này bằng cách thay đổi hướng dẫn bộ nhớ đệm mà developer.twitter.com gửi đến trình duyệt, ngăn nó lưu trữ thông tin về ứng dụng hoặc tài khoản của người dùng.