事故から学ぶ

Twitterが開発者の秘密鍵やアカウントトークンの漏洩を警告

事故概要

業種 Twitter
発生時期 情報
漏えい人数 情報
事故概要

Twitter(ツイッター)が開発者に、バグに関する警告をメールで送った。そのバグにより、アプリケーションの秘密鍵やアカウントのトークンが漏洩していた可能性がある。
そのメールの中で同社は、秘密鍵とトークンが誤ってブラウザーのキャッシュに不正に保存されていたかもしれないと述べている。
「この修正が行われるの前に、developer.twitter.comで開発者アプリのキーやトークンを閲覧するために公共のコンピュータや共有コンピュータを使用した場合、そのコンピュータ上のブラウザのキャッシュにそれらが一時的に保存されていた可能性がある。その一時的な時間内で、あなたの後に同じコンピュータを使用した人がブラウザのキャッシュにアクセスする方法を知り、何を探すべきかを知っていた場合、あなたが閲覧したキーやトークンにアクセスした可能性があります」とメールで述べられている。
またそのメールによると、場合によっては開発者自身のTwitterアカウントのアクセストークンも流出した可能性があるという。
これらの秘密鍵やトークンは、開発者に代わってツイッターとのやりとりに使用できるため、パスワードと同様に秘密とされているものだ。アクセストークンも非常に機密性の高いもので、盗まれた場合、攻撃者はパスワードを必要とせずにユーザーのアカウントにアクセスすることができる。
ツイッターによると、これらのキーが悪用された証拠はまだないが、万一のためにデベロッパーに警告したという。メールは、共有コンピューターを使ったかもしれない人はアプリケーションのキーとトークンを変更せよ、と勧めている。
このバグの被害者となった開発者の数や、バグがいつ修復されたかについてはまだわかっていない。ツイッターの広報担当者は、数字を提供しなかった。
ツイッターは2020年6月に、広告を掲載しているビジネスユーザーはそのプライベートな情報をブラウザーのキャッシュに不正に保存されていた可能性があると指摘している。

引用元 Nikkei

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

情報

チェックリストにある要求ルール:

情報

■ 推奨対策

対策:

情報

具体例:

情報

タグ

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。