esTwitter.com

Minipost: Twitter lanza un acortador de URLs, en principio no para competir con bit.ly, tinyurl.com y similares, sino para mejorar la seguridad. Empezarán a implementarlo en los mensajes directos, y cualquier URL que sea acortada, verá incrementada su seguridad, puesto que se verificará el destino para evitar que en estos sitios haya problemas como simular ser la web de Twitter, Cross site scripting…

Twt.tl es el dominio elegido para estos enlaces.

Más información: Uberbin

via: blog de Twitter

Hay últimamente un ataque de phising (usurpación de identidad, tras averiguar datos a través de un site que parece el auténtico) por DM y del que se está advirtiendo.

Ha pasado más veces, así que he creído oportuno hacer un artículo sobre consejos para minimizar el riesgo de tener un problema y que nos pudieran quitar o hacer mal uso de la cuenta de Twitter, hagan cosas que no hemos pedido con nuestra cuenta, o bien peligros con otras aplicaciones en Internet a través del uso de Twitter (por el XSS del que escribimos más abajo).

TWEETS, MENTIONS Y MENSAJES DIRECTOS

Hay que ser precavido con las direcciones web abreviadas, a pesar que muchas hacen esfuerzo en detectar sitios maliciosos, eso no significa que todos lo hagan o que haya alguna que se les pueda “escapar”.

Si sospechas de una dirección web abreviada, “tradúcela” / “expándela”. Si es del acortador bit.ly, entra pero añadiendo un + al final (ejemplo para la dirección abreviada http://bit.ly/9mwmsn , añadirle el símbolo + detrás: http://bit.ly/9mwmsn+ ), en el primer caso irías a la página destino a través de esta URL abreviada, y en el segundo a la información, incluyendo la dirección real de destino. Con otros sistemas de acortamiento de URLs no es tan sencillo, pero hay sitios que muestran las direcciones verdaderas, como ExpandURL (tenéis más en este link). Una vez sabida la dirección destino real, podrás tener más información para saber si puede ser interesante de verdad o no.

Cuidado con los @mentions con direcciones web: Si no conoces a la persona que te envía un enlace, intenta averiguar la web de destino (con la técnica anterior) sólo si tienes curiosidad por saber qué link te ha enviado.

Como en los e-mails, desconfiar si un enlace en un tweet o un DM no ha sido solicitado, lo mejor si no es solicitado es no hacer clic.

APLICACIONES PARA TWITTER

Sólo utiliza aplicaciones para Twitter que te inspiren confianza, ante la duda, se puede preguntar, buscar más información…..

No uses aplicaciones para Twitter que te pidan tu contraseña de Twitter, sino usa sólo las que usen Twitter Oauth. Twitter Oauth es un sistema de Twitter mediante el cual autorizas al uso de cierta información de tu cuenta de Twitter, pero no total. En esTwitter.com no publicamos posts desde hace ya muchos meses de aplicaciones que pidan usuario y contraseña de Twitter (con la única excepción de HootSuite que recuerde).

Cuando te salga la ventana de Twitter Oauth, asegúrate que la URL en el navegador es la de twitter.com y no una copia. Si no estabas logueado en Twitter antes de entrar en Twitter Oauth, al entrar en la pantalla de Twitter Oauth te pedirá tu usuario (o e-mail) y contraseña. Es relativamente fácil clonar el diseño de Twitter y ponerlo en otro dominio. La ruta debe empezar por http://twitter.com , si no lo hace así, desconfía y pide consejo, o lo mejor, loguéate primero desde Twitter.com y entra de nuevo en la aplicación que use Twitter Oauth.

Revisa de cuando en cuando logueados con nuestra cuenta de Twitter las Conexiones (connections) a herramientas que has autorizado mediante Twitter Oauth, y elimina los permisos de aquellas que no uses (Revoke access / Revocar acceso).

EL CROSS-SITE SCRIPTING (XSS)

El principal peligro está en el llamado Cross-Site Scripting (XSS). El XSS es que a través de fallos en navegadores, aplicaciones, etc., aplicaciones maliciosas aprovechen que estamos logueados en nuestras cuentas de correo electrónico, Twitter u otros sites para averiguar información, poner puertas de acceso, auto-reenvío de correos electrónicos a cuentas que controlen, etc. Podéis ampliar información aquí (más bien técnica).

NUEVA FUNCIÓN DE TWITTER

Twitter ha introducido recientemente una función que incrementa la seguridad de las cuentas, pero quizá no sea del todo efectiva (no lo sé técnicamente). Ahora al cambiar la configuración principal, nos pide de nuevo la contraseña de nuestro usuario de Twitter).

PARTICIPA

Este es un post participativo, rogaría que si tenéis más ideas, las pongáis en los comentarios para irlos incorporando y así aconsejar a los lectores, muchas gracias.

Ayer un especialista en SEO del Reino Unido detectó un fallo de seguridad en Twitter de cross-site scripting (que permitiría ejecutar JavaScripts y similares de un sitio en otro sitio). A éstas alturas, tanto Mashable como Techcrunch, que al ser dos de los blogs más populares tienen contactos directos con Twitter y les notifican las cosas de inmediato, no han actualizado sus posts diciendo que la vulnerabilidad ha sido solucionada, aunque sí comentan que se hará pronto.

En los posts se menciona que Twitter comentó que había solucionado el problema, pero en la práctica no fue así.

El fallo puede ser importante si lo intenta explotar alguien con buenos conocimientos de programación, y permitiría por ejemplo crear virus de tipo gusano en Twitter, donde cuentas se infectarían por el simple hecho de visitar un enlace publicado en un tweet.

La vulnerabilidad sólo es para quienes usamos la web de Twitter, es seguro utilizar Twitter por cualquiera de las aplicaciones que utilizan su API (siempre que ellas mismas sean de confianza, claro) y como he puesto antes, debido entre otras cosas a la repercusión que está alcanzando y que suelen alcanzar los fallos en Twitter, confío en que se solucionará muy pronto. Como recomendación, tanto con un fallo de seguridad detectado como si no hubiera ninguno, está el hecho de no visitar enlaces sospechosos.

via: techcrunch

Twitter ha empezado a detectar y bloquear por sí misma links a sitios web maliciosos. Habíamos visto que bit.ly, el acortador que usa Twitter, lo había hecho hace no mucho, pero es ahora la propia Twitter la que en los enlaces no convertidos bloquea éstos sitios, lo cual es una noticia muy buena para sus usuarios.

El aviso se muestra en el mismo desplegable que sale la parte de arriba cuando enviamos un tweet, un mensaje privado…. y dice “Your Tweet contained a URL to a know malware site!” .

No se conoce contra qué servicios compara Twitter la seguridad de éstos. Con todo, hay que seguir yendo con precaución en enlaces, pero es una medida como decimos muy buena de cara a nosotros sus usuarios.

via: mashable

Tras ver titulares y posts inexactos o directamente erróneos, ésta es la verdad sobre la seguridad de Twitter y quizá no lo que haya leído usted por ahí:

• Las cuentas de Twitter no han sido hackeadas. Tal y como hemos mencionado, se han accedido a datos de Twitter, pero de la empresa, no del servicio y por tanto no se han visto comprometidos nuestros datos personales.
• Lo que ha sucedido lo explica perfectamente TechCrunch, lo resumo de forma muy breve:
  • un hacker se informa de empleados de Twitter, e-mails personales, etc. en buscadores como Google y demás.
  • de una empleada de Twitter, averigua su cuenta personal de gmail, y prueba en la misma la opción de “recuperar contraseña”.
  • Gmail ofrece en la opción de recuperar contraseña, enviarla a otro e-mail secundario de esa persona, y lo muestra/oculta en el estilo: ******@h******.com. Esa H es sospechosa: lo más probable es que sea Hotmail.
  • el hacker averigua que la cuenta hotmail que sospecha es a la que se enviará la contraseña, no está ya registrada (lo fue y ha sido eliminada), así que la registra y vuelve a darle a la opción de recuperar contraseña de gmail.
  • Voila, ya tiene acceso al gmail particular de ésta empleada.
  • Revisando el correo personal de la empleada, averigua una contraseña que ella ha elegido en cierto servicio ajeno a twitter o gmail…. porque dicho servicio manda el típico e-mail diciendo que te has registrado con tal usuario y tal contraseña.
  • Voila de nuevo, la empleada usa ésta contraseña para todo. A partir de ahí con la contraseña ya tiene acceso al Google Docs de Twitter.
• Twitter a partir de ahora asegura que exige a sus empleados que usen password complejas para sus accesos.
• Los servidores de Twitter con la contraseña “password” sólo eran los de Twitter Search, lugar por otro lado donde no hay información personal a comprometer, pero queda muy bien como titular generalizando (y causando falsa alerta, por cierto).
• Como ejemplo de titular pésimo, éste de Cinco Días: Un hacker deja las cuentas de Twitter al desnudo, la noticia en sí no está mal, pero el titular es pretencioso y erróneo; por otro lado, normal: zapatero a tus zapatos (una web de economía no es a donde yo iría para leer artículos tecnológicos).

Y algunas conclusiones:

• La nube quizá no sea el mejor lugar para poner datos confidenciales de una empresa. Creo que es mejor que estén en una red interna, y si se necesita acceso externo, habilitar una red privada virtual.
• Por mucho que haya transparencia interna en Twitter, quizá un empleado administrativo no sea el más indicado para tener acceso a toda la información de la compañía, incluso si hay acuerdos de confidencialidad. Twitter es demasiado reservada, y luego demasiado abierta… parece un poco incongruente.
• Twitter ha aprendido la lección.
• Ciertos medios seguirán magnificando lo sucedido con tal de sacar un buen titular.

Nota friki sobre mi post: los voilas es porque el hacker es un chico francés .

La pesadilla de los virus de Twitter parece no acabar y gracias a Spamloco me entero que hay un segundo virus en Twitter, tras el otro virus del que ya hemos hablado.

Como consejo, no visitar enlaces sospechosos incluso de nuestros followings (que pudieran estar infectados), que parezcan automáticos o spam. Otro consejo que dan es usar Twitter a través de aplicaciones de terceros, ya que el virus sólo se propaga a quien está logueado en la web de Twitter y visita una página maliciosa.

Se ha publicado el supuesto script empleado para ésta técnica, así que es muy posible que salgan múltiples variantes del mismo. Twitter tiene mucho trabajo para luchar contra ello, pero también es verdad que gracias a eso mejorarán mucho su seguridad.