esTwitter.com

Una grandísima noticia acabará con la pesadez y sobre todo inseguridad de tener que meter nuestro usuario y contraseña en muchas aplicaciones, de una forma segura. Se trata de Oauth para Twitter, que ya está disponible en fase beta para 150 usuarios privilegiados.

Gracias a Twitter Oauth, podremos autorizar al estilo OpenID aplicaciones que usan el usuario y contraseña de Twitter, y que resuelve algo de lo que ya nos quejamos en este post.

No sé si habéis notado que el volumen de aplicaciones nuevas para Twitter sobre las que comentamos se ha reducido, no es casualidad sino que aunque no sería responsable, sí me sentiría culpable de haber recomendado una aplicación maliciosa, prefiero comentar sólo aquellas que se publican en Twitter.com o que están referenciadas por sitios web de mucha importancia. Una vez se autoricen mediante Oauth, los problemas se reducirán y la confianza aumentará.

Por cierto, hoy Twitter ha sufrido un ataque de Clickjacking, sin consecuencias y ya ha sido bloqueado. Se autopublicaban links si pinchabas en el enlace de unos tweets que decían “Don’t click” y claro, muchos por curiosidad han hecho click. Nadie echa la culpa a Twitter, pero se me hace raro que no haya un bug, ya solucionado, de Twitter detrás del problema, es muy fácil que un enlace te lance a enviar un tweet si estás logueado, pero eres tú el que debes darle a enviar, sin embargo que se autoenvíe implica un fallo de seguridad en Twitter, que la propia Twitter no ha reconocido, quizá se me escapa algo y no es así. Es cosa de iframes y CSS, marcos flotantes ocultos y no de Twitter. Para parchearlo, Twitter ha tenido la buena idea de implementar un sistema anti-frames, tal y como detalla este post.

Via: ReadWriteWeb

Se ha anunciado oficialmente el primer intento de robo de contraseñas por Twitter (phising). Al parecer, muchos usuarios están recibiendo mensajes directos hacia una cuenta de blogspot, en la que se redirige a un sitio que se parece a Twitter, pero en realidad es otra url (un subdominio). Lógicamente, no pongáis las contraseñas allí, y si lo habéis hecho, tenéis que entrar en la verdadera URL de Twitter y cambiarla de inmediato, de paso que revisáis si vuestro e-mail sigue siendo el vuestro, y demás.

En la web de Twitter, arriba de los tweets, aparece también el aviso.

Se trata de http://twitter.access-logins.com/ (no entréis), la cual emula a la perfección la apariencia de la web de Twitter. Lo mismo que su directorio raíz http://access-logins.com/ emula a la perfección la de Facebook. Tiene registrador en China, esperemos que pronto la capen de alguna u otra manera.

Cada vez tiene más valor el usuario de Twitter de cada cual así que lógicamente puede ser objeto de intentos de robo de contraseña. También hemos hablado de los peligros de dar la contraseña a aplicaciones de terceros puesto que no hay un sistema en Twitter que valide las contraseñas para esas aplicaciones.

En realidad conseguir de esta manera nuestros datos de acceso sirve para muchas cosas. Una de las cosas que ya hace esta aplicación es reproducirse, y va enviando mensajes directos a todos los contactos de cada usuario infectado, con la misma URL, procediendo así a una propagación masiva de usuarios. También pudiera infectar a los usuarios en su time_line, poniendo mensajes de publicidad, o de mal gusto, provocando que otros dejen de seguirlos. Y finalmente quedarse con la cuenta modificando la contraseña por otra cualquiera.

Imagen tomada de Techcrunch.