Un agujero de seguridad en Twitter ha desatado el caos en la red de microblogging. Sus más de 145 millones de usuarios se han visto expuestos a un 'gusano' que se ha extendido a gran velocidad entre los mensajes de estado de los 'tuiteros'.
El ataque ha producido problemas a los usuarios para acceder a la red social, redirigiéndolos a otros sitios web o replicando de forma automática un mensaje de código de este estilo en su 'status':
#";onmouseover=javascript:;"/
El fallo ha afectado solo a los usuarios de la versión web y no a aquellos que utilizan algún cliente externo para actualizar su estado como TweetDeck o Echofon.
Tras varias horas sin pronunciarse acerca del ataque, Twitter anunciaba que ha identificado el problema como un "ataque de XSS", que aprovecha agujeros de seguridad incrustando código HTML. Al cabo de unos minutos, la red social actualizaba su estado para informar de que el problema estaba resuelto completamente.
Bondades y peligros del JavaScript
Yago Jesús, experto en seguridad informática y miembro del blog Security by Default, explica a RTVE.es cuál ha sido el origen de este 'bug' que se basa en las posibilidades del lenguaje de programación JavaScript cuya inclusión en la web dotó al usuario de más "interactividad" y le daba "la posibilidad de introducir datos y en base a estos, construir aplicaciones con muchas mas posibilidades".El experto informático añade que "prácticamente cualquier aplicación web que imaginemos hoy día funciona así, por ejemplo cualquier chat vía web en su visión mas simple es tan solo un usuario introduciendo datos y recibiendo respuestas".
El problema de seguridad llega porque "existe una alta probabilidad de que el usuario no solo introduzca los datos que esperamos, sino también datos maliciosos" y precisamente "de esto va el bug en Twitter".
Jesús explica que "Twitter espera que en el apartado de actualizaciones introduzcas cosas como 'Estoy tomando un cafe en Paris' pero claro, si alguien en vez de eso introduce secuencias de comandos JavaScript... Tienes un problema".
Hemos comprobado que con este fallo se podrían robar cuentas en TwitterY es que el lenguaje informático JavaScrip permite cambiar el comportamiento de una web. "En principio el gusano que se ha liberado tan solo 'mancha' el perfil del usuario con colores pero es técnicamente posible (lo hemos comprobado) construir un ataque que permita el robo de la sesión y por ende de la cuenta Twitter", afirma el experto.
La versión web, expuesta
El ataque no ha podido llegar en peor momento para la compañía, que hace unos días anunciaba un rediseño de su plataforma enfocado a 'retener' a sus usuarios durante más tiempo en la web.Una gran parte de los internautas de esta red social utilizan clientes externos, no abren la web de Twitter, simplemente aterrizan en ella desde otras aplicaciones.
Yago Jesús recuerda que no es la primera vez que Twitter experimenta un ataque de este tipo, que se siguen produciendo porque "no implementan correctamente filtros para impedir que se introduzcan datos maliciosos".
Comments
Publicar un comentario
Hola, si tienes algo que decirnos este es tu sitio.