Twitter API 密钥被大量泄露，涉及泄露的应用程序达3200个

网络安全一直被人们关注着，各种网络安全事件的发生，也让我们对网络安全保持着警惕的心理。近期，新加坡的安全企业CloudSEK，就发布了关于Twitter API密钥遭受泄露的事件，CloudSEK称目前研究发现，现在已有3,207个应用程序遭到泄露了，被泄露的Twitter API密钥，将可以让黑客用于访问以及接管Twitter账号。这也说明了想要保障网络安全，还需要从多个方面进行防护。

Twitter API密钥事件分析

据了解，在开发者整合移动应用与Twitter时，是需要得到特定的身份认证密钥以与Twitter API交互的，这样就可以代替用户进行登录Twitter以及执行Twitter功能，这些密钥可以进行Twitter登录、发送DM以及创建推文等。但是当CloudSEK进行应用程序安全搜索引擎BeVigil分析的时候，却发现了4,810个应用程序泄露了对Twitter账号进行访问时，所需要使用的密钥，这些被泄露的大量密匙中，可以进行有效使用的就多达3,207。一旦黑客得到了这些密匙，那么就可以被黑客进行以Twitter用户的相关身份来进行操作。

在此事件中，CloudSEK表示，导致密匙发生泄露的主要原因就是，应用程序中所存在的安全漏洞，这些应用程序把密匙存放在容易被盗取的位置中，这样黑客通过简单的破解方法就可以得到API凭证，从而可以轻松得到API密钥和令牌。这些被泄露的令牌以及密匙，如果被黑客进行利用了，那么黑客将会进行加密货币诈骗、恶意软件活动和宣传虚假新闻等。

这些应用凭证主要的存储位置，如下所示：

source/sources/com/app-name/BuildConfig.java

ource/resources/res/values-es-rAR/strings.xml

source/resources/res/values-es-rCO/strings.xml

resources/res/values/strings.xml

研究员称，想要降低这种类型的风险，就需要对硬编码的API密钥的代码进行查看，并且还要对密匙进行定期的更换。

保证密匙安全的方法

想要保证密匙的安全，就需要有一定的方法，比如：可以进行密匙的分类、进行密匙的备份、提高密匙的相关强度，并且要符合相关的规范、定期进行密匙的更新、密钥分层加密存储等。

密匙泄露所带来的影响还是很大的，企业想要保证网络安全，那么对于密匙的安全问题也是不可忽视的。企业需要进行自查，预防出现泄露问题，只有从多个方面出发，企业的安全问题，才可以得到相关的保障，此外还需要进行部署相关的防护措施，这样在遇到问题的时候，才可以及时进行反应。