API รั่ว เจอแอปทำล็อกอิน Twitter หลุด กระทบคนผูกบัญชี เสี่ยงถูกแฮก

API รั่ว
ตอนนี้แอปต่าง ๆ ออกแบบมาเพื่อเพิ่มความสะดวกให้แก่ผู้ใช้ โดยมีตัวเลือกให้ล็อกอินผ่าน Facebook Google หรือบัญชี Twitter ครับ
.
แต่ไม่นานมานี้มีข่าวว่า บริษัทความปลอดภัยทางไซเบอร์ CloudSEK ได้ตรวจพบแอปมากกว่า 3,200 แอปที่ทำคีย์ API ของ Twitter รั่วออกไปบนสาธารณะ เปิดทางให้ผู้คุกคามสามารถเข้าควบคุมบัญชี Twitter ของผู้ใช้ที่เชื่อมโยงกับแอปต่าง ๆ ได้แบบสะดวก
.
ในการเชื่อมโยงบัญชีระหว่างแอปกับ Twitter นักพัฒนาแอปต่าง ๆ จะได้รับคีย์การตรวจสอบสิทธิ์พิเศษหรือโทเค็นที่อนุญาตให้แอปมือถือของพวกเขาสามารถใช้งานร่วม Twitter API เมื่อผู้ใช้เชื่อมโยงบัญชี Twitter ของตนกับแอปบน Smartphone คีย์ดังกล่าวจะช่วยให้แอปสามารถดำเนินการในนามของผู้ใช้ได้ เช่น การเข้าสู่ระบบผ่านทาง Twitter การสร้างทวีต การส่ง DM เป็นต้นครับ
.
เนื่องจากการเข้าถึงคีย์การตรวจสอบสิทธิ์เหล่านี้อาจทำให้ทุกคนสามารถดำเนินการในฐานะผู้ใช้ Twitter เขาจึงไม่แนะนำให้เก็บคีย์ไว้ในแอปบนอุปกรณ์เคลื่อนที่โดยตรง ซึ่งแฮกเกอร์สามารถค้นหาได้ง่าย แต่การรั่วไหลของคีย์ API มักเป็นผลมาจากความผิดพลาดของนักพัฒนาแอปที่ฝังคีย์การตรวจสอบสิทธิ์ใน Twitter API แต่ลืมที่จะลบออกเมื่อแอปเปิดให้ใช้งาน
.
ซึ่งหากผู้หวังดีเข้าถึงคีย์ API ของผู้ใช้ต่าง ๆ ได้ สิ่งที่เขาจะทำได้คือ
  • ทำการรีทวีตและไลค์
  • สร้างหรือลบทวีต
  • ลบหรือเพิ่มผู้ติดตามใหม่
  • เข้าถึงการตั้งค่าบัญชี
  • เปลี่ยนรูปภาพที่แสดง
  • ที่ร้ายสุดคือ อาจใช้บัญชีที่มีผู้ติดตามจำนวนมากแหล่งในการส่งเสริมข่าวปลอม, สร้างแคมเปญมัลแวร์ หรือการหลอกลวงให้ลงทุนเกี่ยวกับ cryptocurrency เป็นต้นครับ
.
ทั้งนี้ CloudSEK ได้แชร์รายชื่อแอปพลิเคชันบางส่วนที่รั่ว API ออกมากับสื่อต่างประเทศ โดยมีแอปที่ยอดดาวน์โหลดตั้งแต่ 50,000 ถึง 5,000,000 ดาวน์โหลด ทั้งแอปที่เกี่ยวกับการเดิน แอปฟังวิทยุ แอพอ่านหนังสือ แอปจดบันทึกเหตุการณ์ แอปหนังสือพิมพ์ แอป e-banking แอป GPS สำหรับปั่นจักรยาน และอื่นๆ อีกครับ
.
ตามกฏหมายของต่างประเทศแล้ว หากมีการค้นพบช่องโหว่ใด ๆ หรือบริษัทด้านความปลอดภัยจะต้องมีการแจ้งเรื่องไปยังผู้พัฒนาระบบ และมีเวลาให้ 30 วัน ก่อนจะเปิดเผยเรื่องดังกล่าวสู่สาธารณะได้ และตอนนี้ส่วนใหญ่ไม่ได้แก้ไขปัญหาดังกล่าวให้ครับ
.
สำหรับใครที่อยากรู้รายชื่อแอป (เชื่อว่ามี) ผมขอโทษจริง ๆ ที่ยังหามาให้ไม่ได้ ไม่รู้เป็นข้อกำหนดใด ๆ หรือเปล่า แต่ตอนนี้ก็พยายามหลีกเลี่ยงการล็อกอินบัญชีแอปผ่านแพลตฟอร์มใด ๆ ไปก่อนแล้วกันครับ
.
ที่มาข้อมูล