Twitterが開発者の秘密鍵やアカウントトークンが漏洩を警告

Twitter(ツイッター)が開発者に、バグに関する警告をメールで送った。そのバグにより、アプリケーションの秘密鍵やアカウントのトークンが漏洩していた可能性がある。

そのメールの中で同社は、秘密鍵とトークンが誤ってブラウザーのキャッシュに不正に保存されていたかもしれないと述べている。

「この修正が行われるの前に、developer.twitter.comで開発者アプリのキーやトークンを閲覧するために公共のコンピュータや共有コンピュータを使用した場合、そのコンピュータ上のブラウザのキャッシュにそれらが一時的に保存されていた可能性がある。その一時的な時間内で、あなたの後に同じコンピュータを使用した人がブラウザのキャッシュにアクセスする方法を知り、何を探すべきかを知っていた場合、あなたが閲覧したキーやトークンにアクセスした可能性があります」とメールで述べられている。

またそのメールによると、場合によっては開発者自身のTwitterアカウントのアクセストークンも流出した可能性があるという。

Twitterが被害者の開発者に送ったメール(スクリーンショット:TechCrunch)

これらの秘密鍵やトークンは、開発者に代わってツイッターとのやりとりに使用できるため、パスワードと同様に秘密とされているものだ。アクセストークンも非常に機密性の高いもので、盗まれた場合、攻撃者はパスワードを必要とせずにユーザーのアカウントにアクセスすることができる。

ツイッターによると、これらのキーが悪用された証拠はまだないが、万一のためにデベロッパーに警告したという。メールは、共有コンピューターを使ったかもしれない人はアプリケーションのキーとトークンを変更せよ、と勧めている。

このバグの被害者となった開発者の数や、バグがいつ修復されたかについてはまだわかっていない。ツイッターの広報担当者は、数字を提供しなかった。

ツイッターは2020年6月に、広告を掲載しているビジネスユーザーはそのプライベートな情報をブラウザーのキャッシュに不正に保存されていた可能性があると指摘している。

関連記事
Twitterの暗号通貨詐欺の元凶は内部ツールに不正アクセスした一人のハッカー
Twitterがビジネスユーザーの個人データ漏洩を発表

カテゴリー:セキュリティ

タグ:Twitter

原文へ

(翻訳:iwatani、a.k.a. hiwa

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。