Twitterは米国時間9月25日、同社のサービスを利用している開発者に対して、利用しているアカウントに影響を及ぼすセキュリティインシデントが発生した可能性があると通知した。
提供:Kon Karampelas
このインシデントは「developer.twitter.com」のウェブサイトがユーザーのブラウザーに誤った指示を送信したことで発生した。
developer.twitter.comは、開発者がTwitterアカウントのアクセストークンや秘密鍵、Twitterアプリ、APIキーなどを管理するために使用するポータルサイトだ。
開発者に対して送られたメールによれば、developer.twitter.comのウェブサイトは、ブラウザーに対して、APIキー、アカウントのアクセストークン、秘密鍵をキャッシュに保存するよう指示したという。
同社は、自分のデバイスでブラウザーを使用している開発者にとっては問題はないと思われるが、公共端末や共有端末を使ってサイトにアクセスしていた開発者は、使用していたブラウザーにAPIキーが保存されてしまっていた可能性が高いと警告している。
Twitterは、「開発者の後にすぐ誰かが同じコンピューターを使用し、その人がブラウザーのキャッシュにアクセスする方法と、どの情報を調べるべきかを知っていれば、開発者がアクセスに使用したキーやトークンにアクセスできた可能性がある」と述べている。
「訪問したページや閲覧した情報によっては、アプリの利用者のAPIキーや、開発者自身のTwitterアカウントのユーザーアクセストークンや秘密がその情報に含まれていた可能性がある」(Twitter)
Twitterは既に、ユーザーがdeveloper.twitter.comにアクセスした際にキャッシュされる情報に関する設定を変更し、問題を修正した。
同社はまた、攻撃者がこの問題を利用してキーやトークンを入手するには、(1)この不具合の存在を知っており、(2)開発者が使用していたブラウザーにアクセスする必要があり、今のところこの問題によってAPIキーが漏えいしたことを示す兆候はないと述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。