Уязвимость в API угрожает сливом конфиденциальных данных Twilio и Amazon S3

[Новость на русском][1], [Отчет appthority][2]

Сложно объяснить, почему разработчики Twilio решили сделать так, чтобы в код приложений, использующих их Rest API и SDK, было необходимо жестко «зашить» учетные данные для доступа к БД. Но сделали они именно так. И это несмотря на то, что собственные политики безопасности Twilio такие фортели запрещают.

API для доступа к сервисам Twilio позволяют обмениваться сообщениями и голосовыми звонками — функции, востребованные в корпоративных приложениях. Тот, кто сумеет выдрать из этого кода ключи от учетной записи Twilio, получит доступ ко всем метаданным и голосовым записям, которые хранятся на корпоративном аккаунте. А это миллионы и миллионы минут разговоров и бесчисленные текстовые сообщения о важных контрактах, заказах оборудования и любовных интрижках гендиров. Как говорится, упс.
[Читать дальше →][3]

[1]: https://threatpost.ru/eavesdropper-vulnerability-allows-wiretapping/23185/
[2]: https://info.appthority.com/hubfs/website-LEARN-content/Appthority%20Q4%2017%20MTR-Eavesdropper.pdf
[3]: https://habrahabr.ru/post/342684/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut