Caso in questione, TrueCaller. Ho effettuato l'accesso a TC utilizzando un account Twitter proxy. Presumo che, come parte del processo di autenticazione, un access_token debba essere stato salvato da TC.
Grazie.
1 . If the hackers have this token, what can they be able to do with it?
Dipende dal singolo "social network" , ma tali token sono per lo più configurati per scadere / invalidare dopo un certo periodo di tempo. Inoltre, le reti da te citate hanno implementazioni di sicurezza multiple in esecuzione per limitare tali vettori di attacco, tra le altre cose, collegando il token all'IP. Chiediti come improbabile è che un utente malintenzionato sia in grado di recuperare più caratteristiche contemporaneamente ... Non posso dire che non accadrà, poiché la legge di Murphy proverebbe sicuramente mi sbaglio. ;)
2 . Assuming that the hackers have gotten a hold of my database, what can I as a developer do, to minimise the effect of the leak? What are the good practices for such login?
Segui le procedure che seguiresti in relazione a ogni incidente di sicurezza delle informazioni - applica le 6 fasi della gestione degli incidenti:
Per approfondire la "gestione degli incidenti" , potresti voler iniziare verificando le seguenti informazioni: