Bir küme siber güvenlik araştırmacısı geliştiricilerin 3 bin 200 uygulama üzerinde kullandığı yanlışlı bir teknik nedeniyle Twitter’ın hesaplarının ele geçirilebildiği tespit etti. Bu yanılgı nedeniyle Twitter hesabı büsbütün ele geçirebiliyordu.
Ancak hesabı ele geçiren kişi sırf uygulama geliştiricisi olduğu için şimdiye kadar olumsuz bir durum bildirilmedi.
Mobil uygulamaları Twitter ile entegre ederken, geliştiricilere, taşınabilir uygulamalarının Twitter API’si ile etkileşime girmesine imkan tanıyan özel kimlik doğrulama anahtarları tahsis edilir. Bir kullanıcı Twitter hesabını bu taşınabilir uygulama ile ilişkilendirdiğinde ise bu özel anahtarlar uygulamanın kullanıcı ismine Twitter üzerinden oturum açma, tweet oluşturma, DM gönderme vb. üzere süreçler yapmasına imkan tanır. Yanılgı da API anahtarları ile ilgili bir kusurdan kaynaklandı.
Bu kimlik doğrulama anahtarları Twitter’a tam erişim imkanı sunabildiği için bir taşınabilir uygulamada şifresiz bir biçimde saklanmaması gerekiyor. Hatta geliştiricilerin kimlik doğrulama anahtarlarını güvenlik hedefiyle sık sık değiştirmesi gerekiyor. Fakat geliştiriciler API anahtarını şifrelemeden veritabınında tuttuğu için binlerce Twitter hesabı ele geçirilme riskiyle karşı karşıya kaldı.
Siber güvenlik araştırmaları tespit edilen sorunu uygulama geliştiricilerine bildirdi. Lakin binlerce Twitter kullanıcısını savunmasız bırakacağı gerekçesiyle rastgele bir liste yayınlamadı.
Bu uygulamalardan bir tanesi de Ford Events uygulamasıydı. Bu sorun Ford’a bildirilir bildirilmez uygulama çabucak güncellendi.