推特?向開發(fā)者警示：私有應用密鑰和賬號令牌有暴露風險

• 事件經過:

  近日推特向開發(fā)者發(fā)布電子郵件，警告稱由于 BUG 他們的私有應用密鑰和賬號令牌可能已經被暴露。在這份郵件中，推特表示這些私鑰和令牌可能被錯誤地存儲在瀏覽器的緩存中。

  在電子郵件中寫道：“在修復之前，如果您使用公共或共享計算機在developer.twitter.com上查看您的開發(fā)者應用程序密鑰和令牌，它們可能已經暫時存儲在該計算機上的瀏覽器緩存中。如果在那個臨時時間段內，在你之后使用同一臺電腦的人知道如何訪問瀏覽器的緩存，并且知道該尋找什么，那么他們有可能訪問了你查看的密鑰和令牌”。

  在郵件中，推特表示在某些情況下開發(fā)者自己的推特賬號憑證也可能會被曝光。和密碼一樣，這些私鑰、令牌可以被認為是一種通行密碼，因為它們可以代表開發(fā)者與 Twitter 進行交互。訪問令牌也是高度敏感的，因為如果被盜，它們可以讓攻擊者在不需要密碼的情況下訪問用戶的賬戶。

  Twitter表示，目前還沒有看到任何證據表明這些密鑰被泄露，但出于謹慎的考慮，還是提醒了開發(fā)者。郵件中說，可能使用過共享電腦的用戶應該重新生成他們的應用密鑰和令牌。目前還不知道有多少開發(fā)者受到該漏洞的影響，也不知道該漏洞具體何時被修復。Twitter發(fā)言人不愿意提供這方面的信息。