推特向开发者警示：私有应用密钥和账号令牌有暴露风险

近日推特向开发者发布电子邮件，警告称由于 BUG 他们的私有应用密钥和账号令牌可能已经被暴露。在这份邮件中，推特表示这些私钥和令牌可能被错误地存储在浏览器的缓存中。

在电子邮件中写道：“在修复之前，如果您使用公共或共享计算机在developer.twitter.com上查看您的开发者应用程序密钥和令牌，它们可能已经暂时存储在该计算机上的浏览器缓存中。如果在那个临时时间段内，在你之后使用同一台电脑的人知道如何访问浏览器的缓存，并且知道该寻找什么，那么他们有可能访问了你查看的密钥和令牌”。

在邮件中，推特表示在某些情况下开发者自己的推特账号凭证也可能会被曝光。和密码一样，这些私钥、令牌可以被认为是一种通行密码，因为它们可以代表开发者与 Twitter 进行交互。访问令牌也是高度敏感的，因为如果被盗，它们可以让攻击者在不需要密码的情况下访问用户的账户。

Twitter表示，目前还没有看到任何证据表明这些密钥被泄露，但出于谨慎的考虑，还是提醒了开发者。邮件中说，可能使用过共享电脑的用户应该重新生成他们的应用密钥和令牌。目前还不知道有多少开发者受到该漏洞的影响，也不知道该漏洞具体何时被修复。Twitter发言人不愿意提供这方面的信息。

（稿源：cnBeta，封面源自网络。）