信息來源：Cnbeta

近日推特向開發(fā)者發(fā)布電子郵件，警告稱由于 BUG 他們的私有應(yīng)用密鑰和賬號令牌可能已經(jīng)被暴露。在這份郵件中，推特表示這些私鑰和令牌可能被錯(cuò)誤地存儲(chǔ)在瀏覽器的緩存中。

在電子郵件中寫道：“在修復(fù)之前，如果您使用公共或共享計(jì)算機(jī)在developer.twitter.com上查看您的開發(fā)者應(yīng)用程序密鑰和令牌，它們可能已經(jīng)暫時(shí)存儲(chǔ)在該計(jì)算機(jī)上的瀏覽器緩存中。如果在那個(gè)臨時(shí)時(shí)間段內(nèi)，在你之后使用同一臺(tái)電腦的人知道如何訪問瀏覽器的緩存，并且知道該尋找什么，那么他們有可能訪問了你查看的密鑰和令牌”。

在郵件中，推特表示在某些情況下開發(fā)者自己的推特賬號憑證也可能會(huì)被曝光。和密碼一樣，這些私鑰、令牌可以被認(rèn)為是一種通行密碼，因?yàn)樗鼈兛梢源黹_發(fā)者與 Twitter 進(jìn)行交互。訪問令牌也是高度敏感的，因?yàn)槿绻槐I，它們可以讓攻擊者在不需要密碼的情況下訪問用戶的賬戶。

Twitter表示，目前還沒有看到任何證據(jù)表明這些密鑰被泄露，但出于謹(jǐn)慎的考慮，還是提醒了開發(fā)者。郵件中說，可能使用過共享電腦的用戶應(yīng)該重新生成他們的應(yīng)用密鑰和令牌。目前還不知道有多少開發(fā)者受到該漏洞的影響，也不知道該漏洞具體何時(shí)被修復(fù)。Twitter發(fā)言人不愿意提供這方面的信息。