Agences : La plateforme Twitter a envoyé un avertissement aux développeurs par e-mail concernant une erreur qui aurait pu révéler des clés d'application privées et des jetons de compte.

Le géant des réseaux sociaux a déclaré dans l'e-mail : que les clés et les jetons privés ont peut-être été stockés de manière incorrecte dans le cache du navigateur par erreur.

L'e-mail précise : si vous utilisez un ordinateur public ou partagé pour consulter les clés d'application du développeur et les jetons sur (developer.twitter.com) – la plateforme où les développeurs gèrent les applications Twitter et les clés d'API associées – elles ont peut-être été temporairement enregistrées dans le cache du navigateur sur cet ordinateur avant la correction.

Elle a ajouté : "Si quelqu'un sait comment accéder au cache du navigateur, sait ce qu'il recherche, et a utilisé le même ordinateur que vous pendant cette période, il est probable qu'il ait pu accéder aux clés et aux jetons que vous avez consultés."

Il est mentionné dans l'e-mail que, dans certains cas, le jeton d'accès du développeur pour son compte Twitter a également pu être exposé.

Ces clés et jetons privés sont considérés comme confidentiels, tout comme les mots de passe, car ils peuvent être utilisés pour interagir avec Twitter au nom du développeur.

Les jetons d'accès sont également très sensibles, car en cas de vol, ils peuvent permettre à un attaquant d'accéder au compte de l'utilisateur sans avoir besoin de son mot de passe.

La plateforme a déclaré qu'elle n'avait jusqu'à présent vu aucune preuve de compromission de ces clés, mais elle a alerté les développeurs parce qu'elle veut s'assurer qu'ils sont conscients de ce qui s'est passé et de ce qu'ils peuvent faire pour protéger la sécurité de leurs applications et de leurs comptes.

L'e-mail a précisé que les utilisateurs ayant éventuellement utilisé un ordinateur partagé devaient recréer leurs clés d'application et leurs jetons privés.

Le nombre de développeurs affectés par cette erreur n'est pas immédiatement connu, ni exactement quand l'erreur a été corrigée, et un porte-parole de Twitter n'a fourni aucun chiffre.

La plateforme a déclaré en juin : que les clients professionnels, comme ceux qui font de la publicité sur le site, ont peut-être vu leurs informations personnelles stockées de manière incorrecte dans le cache du navigateur.

Étant donné que des centaines de milliards de dollars d'activités commerciales en ligne dépendent des API pour fonctionner sans accroc, cette présence omniprésente rend les API une cible attrayante pour les pirates cherchant à exploiter des vulnérabilités.

Twitter a annoncé qu'elle avait modifié les instructions de cache envoyées par le site aux navigateurs des développeurs pour empêcher le stockage d'informations sur vos applications ou votre compte afin que cela ne se reproduise plus.