Written by @javig on Marzo 8, 2009.
Twitter anuncia en su blog que 750 cuentas de Twitter han sido comprometidas, gracias a lo cual han publicado enlaces a sitios de webcam, debido a un fallo en la poca seguridad de las contraseñas utilizadas.
Twitter achaca el fallo a que las contraseñas de dichos usuarios son poco seguras, por ejemplo muy cortas, que coincidan con datos del usuario, o con palabras del diccionario.
Cualquier servicio de Internet está sujeto a un ataque de uso de contraseñas no aleatorias. Si la contraseña es corta, es común a una palabra del diccionario, o al nombre de usuario… corre el peligro que un programa creado para la ocasión intente acceder a la misma probando diferentes contraseñas masivamente.
El problema no es un fallo de seguridad de Twitter como tal, sino de usuarios que ponen como contraseña en Twitter una insegura. No obstante, no sabemos si Twitter tiene un sistema que bloquee los accesos durante un tiempo predefinido tras x intentos fallidos de acceso a una cuenta, pero si no lo tiene, es muy buen momento para pensar en implementar uno.
Como consejo personal en la elección de contraseñas: que use mayúsculas y minúsculas, no menos de 8 caracteres de longitud y que meta también números en medio de la combinación.
Written by @javig on Febrero 13, 2009.
Una grandÃsima noticia acabará con la pesadez y sobre todo inseguridad de tener que meter nuestro usuario y contraseña en muchas aplicaciones, de una forma segura. Se trata de Oauth para Twitter, que ya está disponible en fase beta para 150 usuarios privilegiados.
Gracias a Twitter Oauth, podremos autorizar al estilo OpenID aplicaciones que usan el usuario y contraseña de Twitter, y que resuelve algo de lo que ya nos quejamos en este post.
No sé si habéis notado que el volumen de aplicaciones nuevas para Twitter sobre las que comentamos se ha reducido, no es casualidad sino que aunque no serÃa responsable, sà me sentirÃa culpable de haber recomendado una aplicación maliciosa, prefiero comentar sólo aquellas que se publican en Twitter.com o que están referenciadas por sitios web de mucha importancia. Una vez se autoricen mediante Oauth, los problemas se reducirán y la confianza aumentará.
Por cierto, hoy Twitter ha sufrido un ataque de Clickjacking, sin consecuencias y ya ha sido bloqueado. Se autopublicaban links si pinchabas en el enlace de unos tweets que decÃan “Don’t click” y claro, muchos por curiosidad han hecho click. Nadie echa la culpa a Twitter, pero se me hace raro que no haya un bug, ya solucionado, de Twitter detrás del problema, es muy fácil que un enlace te lance a enviar un tweet si estás logueado, pero eres tú el que debes darle a enviar, sin embargo que se autoenvÃe implica un fallo de seguridad en Twitter, que la propia Twitter no ha reconocido, quizá se me escapa algo y no es asÃ. Es cosa de iframes y CSS, marcos flotantes ocultos y no de Twitter. Para parchearlo, Twitter ha tenido la buena idea de implementar un sistema anti-frames, tal y como detalla este post.
Via: ReadWriteWeb
Written by @javig on Enero 7, 2009.
Llega la segunda y tercera noticia de inseguridad en Twitter, tras el intento de phising en Twitter, y en estas ocasiones sà que tiene responsabilidad directa la propia Twitter.
Por un lado, 33 cuentas de usuario de Twitter fueron hackeadas, incluyendo la de Obama o Rick Sánchez de la CNN, tras un fallo de seguridad en Twitter en el que la propia Twitter atribuye a un fallo en uno de los equipos con los que prestan soporte a los usuarios. He leÃdo en ciertos blogs que Twitter aconseja modificar la contraseña, algo que en realidad no he encontrado dicho por la propia Twitter, no obstante si asà os sentÃs más seguros, tampoco está tan mal la medida. El hackeo no fue más allá de un insulto hacia Rick, Obama y similares, según una confesión del supuesto autor del ataque, quien denuncia la desidia de Twitter.
Y por otro lado, vÃa anieto2k vemos cómo con un Javascript puesto en cualquier página web podemos averiguar, si un usuario logueado en Twitter entra en esa página, cuáles son los últimos tweets, número de followers, a quien se dirigió el último tweet, identificador….
La información es muy básica, acabo de probarlo y funciona, pero ya se ha despertado la polémica.
No obstante, creo que de la misma forma si está abierta, muchas aplicaciones online para Twitter, las que no envÃan o usan nuestra cuenta más que para recibir datos básicos y no enviarlos no necesitarán pedirnos usuario y contraseña para comprobar que ya estamos logueados y certificamos nuestra identidad, creo que bien enfocado un posible fallo puede ser una ventaja de seguridad para que no nos roben la clave con el próximo servicio online para Twitter que se presente.
Eso sÃ, no nos podremos quejar que haya empezado el año cargado de noticias sobre Twitter, aunque preferimos dar otras más alegres.
Loading ...
Comentarios recientes