Günlük 200 milyondan fazla aktif kullanıcı ile en popüler sosyal medya platformları arasında yer alan Twitter, ülkemiz dahil tüm dünyada sıklıkla tercih ediliyor. Birçok kullanıcıyı bünyesinde barındıran platform bazı saldırıların da hedefi hâline gelmiş durumda. Milyonlarca Twitter kullanıcısını ilgilendiren son tehlike ise geçtiğimiz günlerde ortaya kondu.
Saldırganlar Twitter hesaplarına bazı uygulamalar aracılığı ile kolayca ulaşabiliyor
Yapılan araştırmaya göre binlerce uygulamanın Twitter API anahtarlarını sızdırdığı ortaya çıktı. Bu sayede saldırganlara Twitter hesaplarını tamamen ele geçirebilme ve bunları kimlik hırsızlığı veya diğer siber dolandırıcılık türleri için kullanma şansı tanınıyor.
CloudSEK tarafından yapılan araştırma, Twitter API için geçerli kullanıcı şifreleri ve sırlarını sızdıran toplam 3.207 mobil uygulamanın varlığını ortaya koydu. Çeşitli mobil uygulamalar Twitter ile entegrasyon sunarak kullanıcıların yerine belirli eylemleri gerçekleştirebiliyor.
Bu tür verileri sızdıran uygulamalar, potansiyel olarak üçüncü taraf kişilerin tweet atmasına, doğrudan mesajlar gönderip okuması ve bunun gibi birçok şeyi yapmasına izin veriyor. CloudSEK, bu sayede bazı kişilerin dolandırıcılık veya kötü amaçlı yazılım kampanyasını başka hesaplar üzerinden teşvik edebileceğini belirtiyor.
Araştırmacılar, söz konusu uygulamaların e-bankacılık, navigasyon, radyo ve bunun gibi birçok konuda hizmet verdiğini ortaya koyuyor. Bu uygulamaların her biri hâli hazırda 50.000 ila beş milyon arasında indirilmiş durumda.
Tüm bunlarla birlikte, milyonlarca Twitter hesabının büyük bir risk altında olduğunu söyleyebiliriz. Tüm uygulama sahipleri konu hakkında bilgilendirilmiş durumda. Ancak çoğu uygulama sahibinin sorunu kabul etmediği belirtiliyor. Diğer yandan Ford markasının ise Ford Events uygulamasındaki açığı hızlı bir şekilde ortadan kaldırdığı bildirildi.
Diğer uygulamalar sorunu çözene kadar uygulamaların listesinin paylaşılmayacağı belirtiliyor. Araştırmacılar, API sızıntılarının genellikle uygulama geliştirmedeki hataların sonucu olduğunu dile getirdi. Bazı geliştiricilerin kimlik doğrulama anahtarlarını Twitter API’sine aktardıkları, sonrasındaki ise bunları kaldırmayı unuttukları ifade ediliyor.
İlerleyen günlerde bu sorunun daha geniş çapta çözülmesi bekleniyor. Peki siz bu konu hakkında ne düşünüyorsunuz? Görüşlerinizi yorumlar kısmında bizimle paylaşabilirsiniz.
{{user}} {{datetime}}
{{text}}