Un grupo de investigadores de ciberseguridad descubrieron que 3,207 aplicaciones móviles están filtrando las claves de la API de Twitter al público, por un error del desarrollador.
Esto permite que las cuentas de Twitter sean secuestradas y sean utilizadas para realizar actividades maliciosas dentro de la plataforma.
Entre las actividades que los hackers podrían realizar se encuentran: la lectura de mensajes directos, envío de «Me gusta», eliminación de seguidores, seguimiento a otras cuentas, acceso a la configuración de la cuenta, entre otras.
De acuerdo con CloudSEK, que fue la empresa encargada de realizar esta investigación, la filtración de las claves de la API de Twitter al público se da porque los desarrolladores de las aplicaciones olvidan borrar las claves de autenticación antes de lanzar su app al público.
Lo que permite que los hackers tengan acceso a este tipo de información a través del código fuente de las aplicaciones para realizar actividades maliciosas.
Por ejemplo, que las cuentas de Twitter sean utilizadas para difundir información falsa, realizar estafas, llevar a cabo campañas de malware, entre otras.
Ahora bien, se recomienda nunca almacenar claves directamente en una aplicación móvil para evitar dejar expuesta toda la información vinculada a las cuentas de los usuarios.
CloudSEK compartió una lista de aplicaciones involucradas con BleepingComputer, pero no específico su nombre porque podrían poner en riesgo los datos de los usuarios en Twitter. La mayoría de estas aplicaciones aún no han corregido esta vulnerabilidad de seguridad.
Sin embargo, compartió que se trata de aplicaciones de transporte, lectores electrónicos, radio, periódicos, lectores de libros, agendas o incluso aplicaciones de banca electrónica.