Por @Alvy — 7 de marzo de 2009

Un impresionante agujero de seguridad en Twitter hace que se puedan publicar mensajes como si fueran de otra persona en una cuenta ajena; el problema ya se conoce hace días pero en Twitter todavía no lo han podido corregir: el método es similar a cuando se suplanta la procedencia de mensajes SMS; de hecho se utiliza esa pasarela para «colar» los mensajes como textos válidos procedentes del propietario de la cuenta. Una posible solución de momento es bloquear el acceso desde dispositivos móviles (Twitter > Settings > Devices). Por otro lado conviene no fiarse de los mensajes de otras personas que aparezcan marcados como «from txt» si la persona normalmente publica «from web» o «from twitterrific» o cualquier otra aplicación.

Los hackers éticos de Security by Default hicieron una comprobación y demostración práctica del agujero en la cuenta de edans, una de las que más seguidores tiene en español, lo que le ha dado más visibilidad al problema. En su blog ya habían hablado hace semanas de otros agujeros de Twitter.

En otras noticias, las cuentas de Spotify también se vieron en problemas; en Security by Default también explicaron con más detalle el problema. La versión corta es que euienes abrieron en Spotify una cuenta para oir música antes del 20 de diciembre de 2008 deberían cambiar su contraseña.

Actualización: Ya han publicado una explicación completa del memorable hackeo. Una posible solución (porque no parece que se vaya a solucionar lo del spoofing de SMS en breve) es como hacen otros servicios requerir que el texto a publicar contenga una palabra a modo de contraseña que sólo conoce el propietario de la cuenta. Algunos sistemas de publicación de contenidos para blogs emplean esa técnica para permitir la publicación a partir de mensajes de correo entrantes (dado que falsificar la dirección del emisor de un envío de correo es casi trivial).

Compartir en Flipboard Publicar / Tuitear Publicar