Twitter ahora bloquea enlaces maliciosos

Twitter ha empezado a detectar y bloquear por sí misma links a sitios web maliciosos. Habíamos visto que bit.ly, el acortador que usa Twitter, lo había hecho hace no mucho, pero es ahora la propia Twitter la que en los enlaces no convertidos bloquea éstos sitios, lo cual es una noticia muy buena para sus usuarios.

El aviso se muestra en el mismo desplegable que sale la parte de arriba cuando enviamos un tweet, un mensaje privado…. y dice “Your Tweet contained a URL to a know malware site!” .

No se conoce contra qué servicios compara Twitter la seguridad de éstos. Con todo, hay que seguir yendo con precaución en enlaces, pero es una medida como decimos muy buena de cara a nosotros sus usuarios.

via: mashable

Exactitudes sobre la seguridad de Twitter

Tras ver titulares y posts inexactos o directamente erróneos, ésta es la verdad sobre la seguridad de Twitter y quizá no lo que haya leído usted por ahí:

  • Las cuentas de Twitter no han sido hackeadas. Tal y como hemos mencionado, se han accedido a datos de Twitter, pero de la empresa, no del servicio y por tanto no se han visto comprometidos nuestros datos personales.
  • Lo que ha sucedido lo explica perfectamente TechCrunch, lo resumo de forma muy breve:
    • un hacker se informa de empleados de Twitter, e-mails personales, etc. en buscadores como Google y demás.
    • de una empleada de Twitter, averigua su cuenta personal de gmail, y prueba en la misma la opción de “recuperar contraseña”.
    • Gmail ofrece en la opción de recuperar contraseña, enviarla a otro e-mail secundario de esa persona, y lo muestra/oculta en el estilo: ******@h******.com. Esa H es sospechosa: lo más probable es que sea Hotmail.
    • el hacker averigua que la cuenta hotmail que sospecha es a la que se enviará la contraseña, no está ya registrada (lo fue y ha sido eliminada), así que la registra y vuelve a darle a la opción de recuperar contraseña de gmail.
    • Voila, ya tiene acceso al gmail particular de ésta empleada.
    • Revisando el correo personal de la empleada, averigua una contraseña que ella ha elegido en cierto servicio ajeno a twitter o gmail…. porque dicho servicio manda el típico e-mail diciendo que te has registrado con tal usuario y tal contraseña.
    • Voila de nuevo, la empleada usa ésta contraseña para todo. A partir de ahí con la contraseña ya tiene acceso al Google Docs de Twitter.
  • Twitter a partir de ahora asegura que exige a sus empleados que usen password complejas para sus accesos.
  • Los servidores de Twitter con la contraseña “password” sólo eran los de Twitter Search, lugar por otro lado donde no hay información personal a comprometer, pero queda muy bien como titular generalizando (y causando falsa alerta, por cierto).
  • Como ejemplo de titular pésimo, éste de Cinco Días: Un hacker deja las cuentas de Twitter al desnudo, la noticia en sí no está mal, pero el titular es pretencioso y erróneo; por otro lado, normal: zapatero a tus zapatos (una web de economía no es a donde yo iría para leer artículos tecnológicos).

Y algunas conclusiones:

  • La nube quizá no sea el mejor lugar para poner datos confidenciales de una empresa. Creo que es mejor que estén en una red interna, y si se necesita acceso externo, habilitar una red privada virtual.
  • Por mucho que haya transparencia interna en Twitter, quizá un empleado administrativo no sea el más indicado para tener acceso a toda la información de la compañía, incluso si hay acuerdos de confidencialidad. Twitter es demasiado reservada, y luego demasiado abierta… parece un poco incongruente.
  • Twitter ha aprendido la lección.
  • Ciertos medios seguirán magnificando lo sucedido con tal de sacar un buen titular.

Nota friki sobre mi post: los voilas es porque el hacker es un chico francés 😛 .

Mikeyy, segundo virus en Twitter en el mismo fin de semana

La pesadilla de los virus de Twitter parece no acabar y gracias a Spamloco me entero que hay un segundo virus en Twitter, tras el otro virus del que ya hemos hablado.

Como consejo, no visitar enlaces sospechosos incluso de nuestros followings (que pudieran estar infectados), que parezcan automáticos o spam. Otro consejo que dan es usar Twitter a través de aplicaciones de terceros, ya que el virus sólo se propaga a quien está logueado en la web de Twitter y visita una página maliciosa.

Se ha publicado el supuesto script empleado para ésta técnica, así que es muy posible que salgan múltiples variantes del mismo. Twitter tiene mucho trabajo para luchar contra ello, pero también es verdad que gracias a eso mejorarán mucho su seguridad.

No visiteis StalkDaily-punto-com, virus roba-contraseñas de Twitter

Me entero gracias a @Naruedyoh de la existencia de StalkDaily, un nuevo virus que explota algún fallo de seguridad de Twitter u otros con las contraseñas de las cookies. El caso es que simplemente visitando esa web logueados en Twitter, queda el usuario “infectado” y promocionando una supuesta red de microblogging mejorado llamado StalkDaily. La cuenta @StalkDaily ha sido suspendida.

La sugerencia si os infecta, para eliminarlo, es cambiar la contraseña de Twitter e ir inmediatamente a vuestro timeline para eliminar del todo los tweets que ha auto-enviado a tus followers para propagarse.

Alguien ha creado un bot (o igual es manual) que hace un @reply (mentions) automático a quien siga propagando StalkDaily.com en su usuario de Twitter. Creo que Twitter no sólo tendría que suspender el usuario, sino automáticamente eliminar todos los tweets con el virus, ya que son todos iguales, y prácticamente eliminaría el problema.

Tenéis más información aquí: Twittercism

ACTUALIZACIÓN 12/04/2009: Twitter lleva desde que empezaron los ataques “manos a la” obra tanto para corregir el problema concreto como para los bugs que han provocado que se pueda expandir StalkDaily. El problema ha sido una vulnerabilidad “cross-site scripting” y Twitter asegura que no se han comprometido contraseñas, números de teléfono u otro tipo de información personal. Tenéis detallado qué ha hecho Twitter con éste problema en éste post del blog oficial de Twitter.

750 cuentas Twitter comprometidas por poca seguridad contraseñas

Twitter anuncia en su blog que 750 cuentas de Twitter han sido comprometidas, gracias a lo cual han publicado enlaces a sitios de webcam, debido a un fallo en la poca seguridad de las contraseñas utilizadas.

Twitter achaca el fallo a que las contraseñas de dichos usuarios son poco seguras, por ejemplo muy cortas, que coincidan con datos del usuario, o con palabras del diccionario.

Cualquier servicio de Internet está sujeto a un ataque de uso de contraseñas no aleatorias. Si la contraseña es corta, es común a una palabra del diccionario, o al nombre de usuario… corre el peligro que un programa creado para la ocasión intente acceder a la misma probando diferentes contraseñas masivamente.

El problema no es un fallo de seguridad de Twitter como tal, sino de usuarios que ponen como contraseña en Twitter una insegura. No obstante, no sabemos si Twitter tiene un sistema que bloquee los accesos durante un tiempo predefinido tras x intentos fallidos de acceso a una cuenta, pero si no lo tiene, es muy buen momento para pensar en implementar uno.

Como consejo personal en la elección de contraseñas: que use mayúsculas y minúsculas, no menos de 8 caracteres de longitud y que meta también números en medio de la combinación.

Falsificación de tweets en Twitter por fallo seguridad SMS

Se ha detectado un problema que permite que una persona pueda insertar tweets falsificando el número de teléfono que envía el SMS, y por tanto entrando perfectamente validado en Twitter para enviar un tweet.

El ejemplo ha sido llevado a cabo con la cuenta de Enrique Dans, donde Securitybydefault ha hecho un envío (que yo he visto raro, pero he pensado que era de Enrique), que se ha publicado a la perfección. Enrique Dans ha afirmado que borrará los posteriores, y ya hemos visto ejemplos de tweets que curiosamene son “from TXT” y han sido eliminados.

El problema no es tanto de Twitter, ¿o sí? como de la metodología para enviar tweets desde SMS validando únicamente el número de teléfono que envía el tweet, si un sistema permite enviar tweets poniendo el número de teléfono enviante, entonces es complicado eliminar la validación. Interesante este post que dice que Twitter lo ha corregido, y luego indican que sigue existiendo el problema.

Desconfiar durante unos días de los tweets ofensivos o muy diferentes a lo que suelen enviar los usuarios de Twitter que provengan “from TXT” que es como vienen los tweets por éste método.

Se supone que puedes eliminar el posible problema si quitas el número de teléfono asociado a tu cuenta de Twitter.