No se puede confiar en los medios sociales para mantener sus datos seguros privados: Historia de una vulnerabilidad de Twitter

Siempre estoy preocupado por la información privada que tengo en línea. Tal vez esto se debe a que han estado atacando durante mucho tiempo, y sé que todo puede ser hackeado. Esto me hace un poco paranoico. Nunca he sitios de confianza de Internet para mantener mi información privada a salvo, y en la actualidad es imposible no tienen información privada publicada en la web, como un sitio web de medios sociales. Tarde o temprano, usted puede ser hackeado, esto es un hecho.

En la actualidad, muchas web y aplicaciones móviles ofrecen a los usuarios la opción de iniciar sesión con su cuenta de Twitter o Facebook. Teniendo en cuenta el hecho de que actualmente Twitter tiene 200 millones de usuarios activos mensuales ( http://en.wikipedia.org/wiki/Twitter ), tiene mucho sentido para las aplicaciones de terceros para ofrecer a los usuarios una forma fácil de conectarse . Además, dado que las aplicaciones pueden obtener una gran cantidad de información de su cuenta de Twitter o Facebook, la mayor parte de las veces ni siquiera es necesario registrarse. Esto es conveniente y ahorra tiempo en la firma de aplicaciones de terceros usando Twitter o Facebook.
Cada vez que me piden que iniciar sesión con Twitter o Facebook, mi primer pensamiento es: “De ninguna manera!”   No quiero dar acceso a mi Twitter y Facebook, independientemente de si tengo información importante o no. Siempre tengo la incómoda sensación de dar un acceso a las aplicaciones de terceros para mis cuentas debido a las implicaciones de seguridad.

La semana pasada tuve una experiencia muy interesante.
Estaba probando una aplicación web que está en desarrollo. Esta aplicación tiene una opción que me permita iniciar sesión en Twitter. Si selecciona esta opción, la aplicación tendría acceso público a mi feed de Twitter (como leer los tweets de mi timeline y ver que sigo). Además, la aplicación se ha podido acceder a la funcionalidad de Twitter en mi nombre (por ejemplo, después de mucha gente, la actualización de mi perfil, publicar tweets para mí). Sin embargo, no tendrían acceso a mi información privada Twitter (por ejemplo, mensajes directos y más importante, mi contraseña). Yo sabía que esto es cierto, debido a la siguiente información que se muestra en la página web de Twitter para “Firmar con Twitter”:

image1Imagen 1
Después de ver la página web que aparece, yo confiaba en que Twitter no le daría el acceso a las aplicaciones a mi contraseña y mensajes directos. Sentí que mi cuenta estaba a salvo, así que me inscribí y jugó con la aplicación. Vi que la aplicación tenía la funcionalidad para acceder y mostrar mensajes de Twitter directas. La funcionalidad, sin embargo, no funciona, ya que Twitter no permiten la aplicación para acceder a estos mensajes. Con el fin de tener acceso, la aplicación tendría que solicitar la autorización correspondiente a través de la siguiente página web Twitter:
image2  Image2
La página web que se muestra arriba es similar a la página web anterior (Imagen 1). Sin embargo, también dice que la aplicación será capaz de acceder a sus mensajes directos. Además, el botón azul es diferente. Dice: “Autorizar aplicación” en lugar de “Registrarse”. Mientras jugaba con la aplicación, nunca he visto esta página web (imagen 2). I continuó jugando con la solicitud de algún tiempo, se muestran la funcionalidad, entrar y salir de la aplicación y Twitter, y así sucesivamente. Después de acceder a la aplicación, de repente vi algo extraño. La solicitud fue mostrando todos mis mensajes de Twitter directas. Esto fue una gran sorpresa y miedo. Me preguntaba cómo era posible. ¿Cómo había restricciones de la aplicación de Twitter se omite de seguridad? Necesitaba saber la respuesta.

Mi sorpresa no terminó aquí. Fui a https://twitter.com/settings/applications para comprobar la configuración de la aplicación. La página dice: “Permisos de lectura, escritura y mensajes directos”. No podía entender cómo era posible, ya que nunca había autorizado la aplicación para acceder a mi “privadas” mensajes directos. Me di cuenta de que se trataba de un agujero de seguridad enorme.
Empecé a investigar cómo pudo haber sucedido. Después de algunas pruebas, me di cuenta de que la aplicación obtiene acceso a mis mensajes directos cuando firmé con Twitter para una segunda o tercera vez. La primera vez que inicia sesión con Twitter de la aplicación, sólo recibió leer y escribir permisos de acceso. Esto dio a la solicitud de acceso a lo que se muestra en su Twitter ‘Entra con Twitter “de la página web (ver imagen 1). Más tarde, sin embargo, cuando me inscribí en el nuevo con Twitter sin estar ya conectado a Twitter (no tener una sesión activa de Twitter – tiene que introducir su nombre de usuario y contraseña de Twitter), la aplicación obtiene acceso a mis mensajes directos privados. Lo hizo sin tener la autorización y Twitter no muestra mensajes acerca de esto. Era un truco de derivación simple para las aplicaciones de terceros para obtener acceso a los mensajes de un usuario de Twitter directas.
Para que una aplicación de terceros para obtener acceso a los mensajes de Twitter directamente, primero tiene que estar registrado y tener acceso directo a su nivel de aviso configurado aquí: https://dev.twitter.com/apps . Este fue el caso para la aplicación que estaba probando.   Además, y más importante aún, la aplicación tiene que obtener la autorización en la página web Twitter (ver Imagen 2) para acceder a los mensajes directos. En mi caso, nunca me encargo. Yo nunca autorizó la solicitud, y no me encontré con una página web solicitando mi autorización para dar el acceso a las aplicaciones a mis mensajes directos privados.
Traté de determinar rápidamente la causa raíz, a pesar de que tenía poco tiempo. Sin embargo, no pude determinar esto. Por lo tanto, decidió informar de la vulnerabilidad de Twitter y dejar que ellos hagan una investigación más profunda. El equipo de seguridad de Twitter rápidamente respondió y se hizo cargo de la edición, la fijación de un plazo de 24 horas. Esto fue impresionante. Su equipo fue muy rápido y sensible. Dijeron que el problema se debía a un código complejo y suposiciones incorrectas y validaciones.
Aunque creo que el equipo de seguridad de Twitter es grande, no creo que lo mismo de la política de divulgación Twitter vulnerabilidad. La vulnerabilidad se fijó el 17 de enero de 2013, pero Twitter no ha emitido alertas / avisos notificando a los usuarios.
Debe haber millones de usuarios de Twitter (recuerde Twitter tiene 200 millones de usuarios activos) que han firmado con Twitter en aplicaciones de terceros. Algunas de estas aplicaciones podría haber ganado el acceso y todavía puede tener acceso a los usuarios de Twitter privados mensajes directos (por la seguridad corregir la aplicación que he probado aún tenía acceso a los mensajes directos hasta que yo la revoque).
Desde Twitter, no ha puesto en alerta a los usuarios de este tema, creo que todos tenemos que correr la voz. Por favor, escribe lo siguiente con todos tus conocidos:

Compruebe los permisos de terceros aplicaciones aquí: https://twitter.com/settings/applications

Si usted ve una aplicación que tiene acceso a sus mensajes directos y nunca lo autorizó, entonces revocar inmediatamente.

Irónicamente, también podríamos utilizar Twitter para ayudar a los usuarios. Podríamos Twitter lo siguiente:

Twitter comparte tus DMs sin autorización, conpruebe la  (3 ª Parte) aplicaciones permisos http://bit.ly/UfSizZ # ProtectYourPrivacy (Por favor RT)

Me encanta Twitter. Yo lo uso todos los días. Sin embargo, creo que Twitter aún necesita un poco de mejora, sobre todo cuando se trata de alertar a sus usuarios sobre los problemas de seguridad cuando la privacidad se ve afectada.

por Cesar Cerrudo @ cesarcer

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: