TwitterのAPIキーが漏えいした可能性--開発者に警告

Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部

2020-09-28 11:34

 Twitterは米国時間9月25日、同社のサービスを利用している開発者に対して、利用しているアカウントに影響を及ぼすセキュリティインシデントが発生した可能性があると通知した。

Twitter
提供:Kon Karampelas

 このインシデントは「developer.twitter.com」のウェブサイトがユーザーのブラウザーに誤った指示を送信したことで発生した。

 developer.twitter.comは、開発者がTwitterアカウントのアクセストークンや秘密鍵、Twitterアプリ、APIキーなどを管理するために使用するポータルサイトだ。

 開発者に対して送られたメールによれば、developer.twitter.comのウェブサイトは、ブラウザーに対して、APIキー、アカウントのアクセストークン、秘密鍵をキャッシュに保存するよう指示したという。

 同社は、自分のデバイスでブラウザーを使用している開発者にとっては問題はないと思われるが、公共端末や共有端末を使ってサイトにアクセスしていた開発者は、使用していたブラウザーにAPIキーが保存されてしまっていた可能性が高いと警告している。

 Twitterは、「開発者の後にすぐ誰かが同じコンピューターを使用し、その人がブラウザーのキャッシュにアクセスする方法と、どの情報を調べるべきかを知っていれば、開発者がアクセスに使用したキーやトークンにアクセスできた可能性がある」と述べている。

 「訪問したページや閲覧した情報によっては、アプリの利用者のAPIキーや、開発者自身のTwitterアカウントのユーザーアクセストークンや秘密がその情報に含まれていた可能性がある」(Twitter)

 Twitterは既に、ユーザーがdeveloper.twitter.comにアクセスした際にキャッシュされる情報に関する設定を変更し、問題を修正した。

 同社はまた、攻撃者がこの問題を利用してキーやトークンを入手するには、(1)この不具合の存在を知っており、(2)開発者が使用していたブラウザーにアクセスする必要があり、今のところこの問題によってAPIキーが漏えいしたことを示す兆候はないと述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]