Los investigadores de seguridad descubrieron más de 3.200 aplicaciones que filtraban las claves de la API de Twitter, que pueden utilizarse para acceder a las cuentas o hacerse con ellas.

La empresa de ciberseguridad CloudSEK dijo que se descubrió que estas aplicaciones estaban filtrando claves de consumidor válidas y claves API secretas de consumidor. De estas aplicaciones, 230 estaban filtrando las cuatro credenciales de autenticación que pueden usarse para tomar el control completo de la cuenta de Twitter de un usuario.

A informe por la empresa dijo que algunas de estas aplicaciones están vinculadas a empresas unicornio.

Un actor de la amenaza que obtenga acceso a una cuenta de Twitter de esta manera podría realizar acciones como leer los mensajes directos, eliminar tuits, acceder a la configuración de la cuenta, seguir a otras cuentas, eliminar seguidores y cambiar la foto del perfil de la cuenta.

Una API, o interfaz de programa de aplicación, se utiliza generalmente para extender los datos y la funcionalidad de una aplicación a otros desarrolladores.

CloudSEK dijo que al ofrecer su API, Twitter permite a los desarrolladores crear sus propias formas de integrar los datos y la funcionalidad de Twitter en sus aplicaciones.

«Por ejemplo, si una aplicación de juegos publica tu puntuación más alta en tu feed de Twitter directamente, está alimentada por la API de Twitter», dijo CloudSEK en su informe.

El informe señala que una API expuesta suele ser el resultado de un error del desarrollador, ya que suele utilizar la API para pruebas y puede no eliminar las credenciales de autenticación de las partes accesibles de la aplicación antes de hacerla pública.

CloudSEK dijo que un actor malicioso que tenga acceso a las claves de la API de Twitter podría utilizarlas para secuestrar cuentas y crear un «ejército de bots».

Este ejército podría incluir cuentas verificadas con un gran número de seguidores, que podrían utilizarse para difundir información errónea, encabezar ataques de malware, lanzar grandes cantidades de spam o realizar campañas de phishing.

El informe señala que es «imperativo» que las claves de la API no se incorporen directamente a las aplicaciones y anima a los desarrolladores a seguir procesos de codificación y despliegue seguros para evitar que se produzcan estas filtraciones.

Según BleepingComputer La mayoría de las aplicaciones que exponen públicamente las claves API no han abordado los problemas señalados en el informe de CloudSEK.

10 cosas que necesitas saber directamente en tu bandeja de entrada cada día de la semana. Inscríbase en el Resumen diario El resumen de Silicon Republic de las noticias esenciales de ciencia y tecnología.