Quer construir seu próprio exército? Engenheiros da CloudSEK publicaram um relatório sobre como fazer exatamente isso em termos de bots e Twitter, graças a chaves de API vazando de aplicativos.
Pesquisadores da empresa dizem que descobriram 3.207 aplicativos vazando no Twitter Chaves de API, que podem ser usadas para obter acesso ou até mesmo assumir totalmente o controle das contas do Twitter.
O Twitter expõe de maneira útil uma API para permitir que os desenvolvedores acessem a plataforma de microblogging. Com ele, os desenvolvedores podem usar recursos como ler e enviar tweets e mensagens diretas, seguir e deixar de seguir usuários e assim por diante. Ele provou ser controverso na ocasião e, mais recentemente, a equipe jurídica de Elon Musk reclamou sobre os limites de taxa de API. Basicamente, a alegação de Musk era que ele não conseguia determinar quantas contas do Twitter eram executadas por bots ou não eram autênticas.
Essa mesma API provou ser uma benção para desenvolvedores cujos trabalhos são facilitados pela funcionalidade , embora também sejam uma irritação ocasional para os usuários (quando, por exemplo, certos jogos adicionam pontuações recentes às linhas do tempo do Twitter dos usuários.)
Quem precisaria de um bot army?
A API, no entanto, não é realmente o problema. O problema são as chaves de autenticação fornecidas aos desenvolvedores para acesso à API e como essas chaves são armazenadas. E sim, de acordo com a casa de segurança, as chaves às vezes são armazenadas de forma acessível dentro do código. Foi dado o exemplo de desenvolvimento de um aplicativo móvel, onde a API foi usada para testes e as credenciais foram salvas dentro do aplicativo. Então, quando o aplicativo passou para produção, as chaves não foram removidas. Os criminosos podem simplesmente baixar o aplicativo, descompilá-lo e obter as chaves da API.
“Assim, daqui chaves e tokens de API em massa podem ser colhidos para preparar o exército de bots do Twitter”, disseram os pesquisadores .
E o que fazer com um exército desses? Os cenários propostos pelo CloudSEK incluíam a disseminação de desinformação, disparo de ataques de malware de contas supostamente confiáveis, spam e o inevitável phishing.
